Attacchi di credential stuffing: come funzionano e come difendersi

Radar
Radar

Prevenzione delle frodi grazie alle potenzialità della rete Stripe.

Ulteriori informazioni 
  1. Introduzione
  2. Spiegazione del credential stuffing
  3. Funzionamento del credential stuffing
  4. Differenze tra credential stuffing, brute force e password spraying
  5. Primi segnali di un attacco di credential stuffing
  6. Rischi degli attacchi di credential stuffing per le piattaforme SaaS e di IA
  7. Come le piattaforme possono contrastare gli attacchi di credential stuffing senza compromettere l’esperienza di accesso
    1. Limite di frequenza avanzato
    2. Identificazione dei bot e analisi del traffico
    3. Screening delle credenziali compromesse
    4. Autenticazione multifattore (MFA) condizionale
    5. MFA obbligatoria per azioni ad alto valore
  8. In che modo Stripe Radar può essere d’aiuto

Gli attacchi di credential stuffing utilizzano processi automatizzati per testare elenchi di nomi utente e password sottratti, ottenendo accessi non autorizzati a siti web e app. Questi attacchi possono causare danni per milioni di dollari. Questa tecnica ha successo anche perché, sebbene agli utenti possa essere richiesto di creare password più complesse, le policy sulla complessità delle password non possono tenere conto del fatto che molte persone riutilizzano le stesse credenziali su siti web o servizi diversi.

Di seguito analizzeremo più da vicino che cos'è il credential stuffing, in che modo si differenzia da brute force e password spraying, quali tipi di frode possono derivare dalla compromissione riuscita degli account e come prevenire il credential stuffing attraverso una difesa multilivello.

In evidenza

  • Il credential stuffing sfrutta il riutilizzo delle password su account differenti. Le policy sulle password non sono efficaci come difesa autonoma contro questo tipo di attacco.

  • Le piattaforme software-as-a-service (SaaS) e di intelligenza artificiale (IA) sono esposte ai rischi legati agli attacchi di credential stuffing, inclusi compromissione degli account, uso improprio delle API e sfruttamento dei piani gratuiti.

  • Una difesa efficace richiede la combinazione di sistemi di identificazione dei bot, screening delle credenziali compromesse e condivisione dei segnali tra endpoint di accesso, registrazione e API.

Spiegazione del credential stuffing

Il credential stuffing è un attacco informatico in cui i criminali utilizzano combinazioni di nomi utente e password sottratte in precedenti violazioni dei dati e le testano automaticamente su altri servizi. Funziona perché il riutilizzo delle password è molto diffuso. Gli studi mostrano costantemente che molte persone utilizzano le stesse credenziali su più account: il 72% della Gen Z dichiara di riutilizzare le password.

Funzionamento del credential stuffing

I truffatori che effettuano attacchi di credential stuffing ottengono liste di password e username, talvolta chiamati "elenchi di credenziali", da database di violazioni dei dati presenti su forum criminali e marketplace del darknet. Alcuni di questi elenchi contengono centinaia di milioni di combinazioni verificate di nomi utente e password. i truffatori caricano queste liste in software in grado di inviare milioni di richieste di accesso, gestire i CAPTCHA, ruotare indirizzi IP proxy e interpretare le risposte di successo o fallimento.

Per evitare semplici regole di limiti di frequenza, i truffatori inviano richieste di accesso da migliaia di indirizzi differenti, spesso tramite proxy residenziali che assomigliano al traffico di utenti legittimi. Quando un accesso va a buon fine, il software lo segnala. A quel punto l'aggressore dispone di un account valido e funzionante e può sottrarre metodi di pagamento salvati, dati personali, accesso alle API o crediti dell'account.

Differenze tra credential stuffing, brute force e password spraying

Credential stuffing, attacchi brute force e password spraying sono tecniche correlate, ma strutturalmente diverse. La contromisura efficace contro una di queste non necessariamente impedisce le altre.

Ecco una panoramica:

  • Brute force: un attacco brute force prova sistematicamente tutte le possibili combinazioni di password contro uno specifico account. Richiede un'elevata capacità di calcolo, è lento ed è in gran parte poco pratico contro endpoint di accesso esposti sul web che adottano policy di blocco degli account.

  • Password spraying: un attacco di password spraying prova una o poche password comuni (ad esempio, Password1! o Welcome2024) su un numero elevato di account. È progettato per restare al di sotto delle soglie di blocco per account, sfruttando al contempo password deboli. Le policy sulle password possono impedire agli utenti di utilizzare password comuni di questo tipo e rappresentano una contromisura utile.

  • Credential stuffing: talvolta considerato una sottocategoria degli attacchi brute force, il credential stuffing utilizza combinazioni legittime di nomi utente e password su pagine di accesso non verificate e prende il controllo degli account a cui riesce ad accedere. Le normali policy sulle password sono poco efficaci contro il credential stuffing, perché non possono impedire ai clienti di riutilizzare le stesse password su account differenti.

Primi segnali di un attacco di credential stuffing

Gli attacchi di credential stuffing raramente si manifestano come un unico picco improvviso. Più spesso emergono attraverso un progressivo accumulo di segnali.

Presta attenzione a quanti aspetti:

  • Aumento dei tassi di accesso non riusciti su più account: un attacco brute force mostra numerosi tentativi falliti su un singolo account. Il credential stuffing, invece, presenta un tasso moderato di tentativi falliti distribuito simultaneamente su migliaia di account. Se il tasso normale di accessi non riusciti è compreso tra il 2% e il 5% e improvvisamente sale al 15%-20% su larga scala, questa variazione richiede un'indagine immediata.

  • Afflusso improvviso di nuovi indirizzi IP: le reti di proxy residenziali generano richieste provenienti da indirizzi che appaiono affidabili nelle liste di reputazione. Tuttavia, un aumento di indirizzi IP che non hanno mai raggiunto in precedenza la piattaforma rappresenta un segnale importante se correlato all'attività di accesso.

  • Distribuzioni geografiche insolite: accessi concentrati in aree geografiche che non corrispondono ai modelli storici di accesso di un account possono indicare accessi automatizzati.

  • *Identificativi del browser identici in numerose richieste: * gli utenti legittimi mostrano un'enorme varietà di impronte del browser. Negli attacchi di credential stuffing, invece, lo stesso identificativo del browser viene spesso ripetuto in migliaia di richieste: un modello che merita attenzione.

  • Rapporto elevato tra tentativi e accessi riusciti: gli utenti normali sbagliano una o due volte, poi effettuano correttamente l'accesso oppure reimpostano la password. Gli strumenti di credential stuffing riescono raramente ad accedere agli account, ma generano numerosi tentativi per sessione.

  • Picchi di volume inspiegabili all'endpoint di accesso: anche con la rotazione degli IP, durante gli attacchi di credential stuffing l'endpoint registra comunque un aumento del numero totale di richieste. Un forte incremento senza un corrispondente evento di marketing o lancio di prodotto rappresenta un segnale di allerta.

Rischi degli attacchi di credential stuffing per le piattaforme SaaS e di IA

Chi effettua attacchi di credential stuffing verifica quali credenziali funzionano per costruire un portafoglio di accessi. Una volta ottenuto l'accesso, può causare danni ancora maggiori.

Se gestisci una piattaforma SaaS o di IA, ecco le informazioni che devi avere:

  • Compromissione degli account e furto di dati: una volta ottenuto l'accesso all'account di un cliente, i truffatori possono sottrarre dati personali, dettagli di pagamento, file privati o comunicazioni. Se la piattaforma gestisce dati aziendali sensibili, un singolo account compromesso può causare una violazione che va oltre l'obiettivo iniziale dell'attacco.

  • Monetizzazione immediata dell'account: i truffatori potrebbero sfruttare immediatamente un account compromesso a fini economici. L'account può essere svuotato dei crediti disponibili, utilizzato per acquisti fraudolenti oppure le credenziali possono essere rivendute su forum criminali.

  • Frode tramite metodi di pagamento salvati: gli account con metodi di pagamento salvati sono obiettivi di alto valore. I truffatori possono effettuare acquisti, trasferire crediti o reindirizzare bonifici, creando un'esposizione finanziaria diretta sia per la piattaforma sia per gli utenti.

  • Frodi tramite nuovi account: dopo aver verificato che la piattaforma contiene valore accessibile, i truffatori spesso iniziano a creare altri account fraudolenti. Versioni di prova gratuite, bonus di registrazione e accesso alle API associati ai nuovi account sono tutti possibili obiettivi.

  • Uso improprio delle prove gratuite e sfruttamento dei piani gratuiti: credential stuffing può trasformarsi in altre forme di frode. I truffatori potrebbero utilizzare ripetutamente l'accesso ai piani gratuiti tramite numerosi account per aggirare i limiti di utilizzo. Per le piattaforme di IA questo rappresenta un problema economico concreto, perché offrire chiamate API e crediti di inferenza comporta un costo diretto per la piattaforma.

  • *Uso improprio delle API: * gli account sulle piattaforme di IA includono in genere accesso alle API e quote di utilizzo. I truffatori che prendono il controllo degli account possono esaurire tali quote, rivendere l'accesso oppure utilizzare le risorse di calcolo per i propri scopi. Tutto questo genera costi infrastrutturali per la piattaforma.

  • Pressione sul supporto clienti: i clienti i cui account sono stati compromessi richiedono un elevato livello di assistenza. Reset delle password, contestazioni per frode e procedure di recupero degli account consumano tempo, denaro e altre risorse.

  • Danno reputazionale: gli utenti i cui account vengono compromessi sulla tua piattaforma potrebbero attribuire la responsabilità alla piattaforma stessa, indipendentemente da dove le credenziali siano state sottratte originariamente.

Come le piattaforme possono contrastare gli attacchi di credential stuffing senza compromettere l'esperienza di accesso

La prevenzione del credential stuffing richiede più livelli di difesa, in modo che ciascuno aumenti il costo dell'attacco. Ecco alcune delle possibili soluzioni.

Limite di frequenza avanzato

Se configuri un limite di frequenza generalizzato basato sugli indirizzi IP, i truffatori potrebbero aggirarlo tramite la rotazione dei proxy. Approcci più efficaci applicano il limite di frequenza in base all'account (ad esempio, quanti tentativi falliti ha registrato questo specifico account negli ultimi 10 minuti?), all'impronta del dispositivo o al comportamento dell'utente. Una combinazione di questi metodi è ancora più efficace.

Identificazione dei bot e analisi del traffico

Implementa una soluzione di gestione dei bot che analizzi segnali comportamentali (ad esempio, modelli di movimento del mouse, tempi di digitazione, frequenza delle richieste e risposte alle verifiche JavaScript). Strumenti come Cloudflare Bot Management o Akamai Bot Manager assegnano un punteggio al traffico ancora prima che raggiunga la logica di autenticazione.

Screening delle credenziali compromesse

Il modello di k-anonymity consente agli utenti di verificare se la loro password è stata compromessa senza condividere l'intera password. Servizi come lo strumento Pwned Passwords di Have I Been Pwned utilizzano questo modello per verificare se la password di un utente compare in database noti derivati da violazioni dei dati.

Autenticazione multifattore (MFA) condizionale

Anziché richiedere l'MFA a ogni accesso, è preferibile riservare le richieste di autenticazione ai casi in cui emergono segnali anomali. Se un tentativo di accesso proviene da un nuovo dispositivo, da un nuovo Paese oppure avviene dopo un lungo periodo di inattività dell'account, può essere opportuno richiedere un secondo fattore di autenticazione. In questo modo l'esperienza resta fluida per gli utenti abituali, individuando al contempo possibili casi di credential stuffing.

MFA obbligatoria per azioni ad alto valore

Anche se non richiedi l'MFA al momento dell'accesso, è consigliabile richiederla prima che un utente possa modificare il proprio indirizzo email, aggiungere un nuovo metodo di pagamento o accedere alle chiavi API. Questo limita i danni nel caso in cui si verifichi una compromissione dell'account.

In che modo Stripe Radar può essere d'aiuto

Stripe Radar è in grado di prevenire le frodi sfruttando modelli di IA addestrati con i dati della rete globale di Stripe. Questi modelli vengono costantemente aggiornati in base alle ultime tendenze, proteggendo continuamente la tua attività da sistemi di frode in continua evoluzione.

Stripe offre anche Radar for Fraud Teams, con cui gli utenti possono aggiungere regole personalizzate per gestire scenari di frode specifici e accedere a funzioni avanzate di analisi delle frodi.
Con Radar puoi:

  • Prevenire le perdite dovute a frodi: Stripe elabora oltre 1.000 miliardi di USD di pagamenti all'anno. Questa portata consente a Radar di individuare e prevenire con precisione le frodi, consentendoti di risparmiare denaro.

  • Aumentare i ricavi: i modelli IA di Radar sono addestrati su dati reali relativi a contestazioni, informazioni sui clienti, dati di navigazione e altro. Ciò consente a Radar di identificare le transazioni rischiose e ridurre i falsi positivi, aumentando i tuoi ricavi.

  • Risparmiare tempo: Radar è integrato in Stripe e non richiede alcuna riga di codice per essere configurato. Puoi anche monitorare le tue prestazioni antifrode, scrivere regole e altro in un'unica piattaforma, aumentando l'efficienza.

Scopri di più su Stripe Radar, oppure inizia oggi stesso.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Altri articoli

  • Sì è verificato un problema. Riprova o contatta l'assistenza di Stripe.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Radar

Radar

Previeni le frodi grazie alle potenzialità della rete Stripe.

Documentazione di Radar

Utilizza Stripe Radar per proteggere la tua azienda dalle frodi.