Fastweb

Cos'è e come difendersi dal credential stuffing

Inserimento credenziali su PC Web & Digital #password #sicurezza informatica Password manager: quanto sono sicuri e quale scegliere I password manager sono i migliori alleati quando c'è da ricordare le credenziali di tutti i nostri profili web. Ma quanto sono sicuri? E come scegliere i migliori in questo senso?
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Cos'è e come difendersi dal credential stuffing FASTWEB S.p.A.
Furto di password
Web & Digital
Se ti è mai capitato di subire un furto d'identità online, è probabile che tu sia stato vittima di credential stuffing. Ecco cos'è e come si combatte

Sempre più spesso capita che i nostri profili su social network e siti più o meno noti vengano violati da qualche hacker e che le nostre informazioni personali vengano messe a rischio. Sarà capitato anche a te, almeno una volta, di ricevere un avviso da Twitter (giusto per fare un esempio) che ti avverte di un accesso al tuo profilo eseguito da un nuovo dispositivo nelle Filippine o in qualche altro Paese del mondo lontanissimo da te. E dove tu, naturalmente, non sei mai stato.

Eppure, nella stragrande maggioranza dei casi, la colpa di tutto ciò non è né di Twitter né degli altri servizi all'interno dei quali gli hacker riescono a fare il login con le tue credenziali. La colpa, invece, è del "credential stuffing".

Cos'è il credential stuffing

Ciò vuol dire che, effettivamente, Twitter (per restare al caso in esempio) non è stato affatto violato: l'hacker che ha fatto l'accesso con i tuoi dati ha trovato il tuo nome utente e password altrove. Nella gran parte dei casi lo ha trovato in un database contente centinaia di migliaia, se non milioni, di combinazioni di user name e password raccolte violando altri siti in passato. Il fatto che usando quei vecchi dati l'hacker riesca ad entrare nei tuoi profili dipende solo da te e dal fatto che usi la stessa combinazione di nome utente e password per più siti. Una pratica, a dire il vero, diffusissima sul Web e proprio questo è il motivo per cui il credential stuffing è una attività che secondo gli hacker vale la pena di portare avanti.

Furto password

Dove si trovano i dati per fare credential stuffing

Questi enormi database di dati di login si vendono, ovviamente sul Dark Web. Tra gennaio e febbraio 2019, ad esempio, su Dream Market (uno dei tantissimi market place del Web oscuro) è stata messa in vendita una collezione da 841 milioni di record contenenti credenziali d'accesso. Era in vendita in tre tranches: la prima costava 20mila dollari, la seconda 14.500 dollari e la terza 9.350 dollari. Da pagare in Bitcoin, ovviamente. Di database del genere ne vengono messi in vendita in continuazione, con prezzi più o meno alti in base alla loro "freschezza": dati appena rubati valgono infatti molto di più di dati rubati mesi o anni fa. Anche per questo, sempre nei mesi scorsi, è successa una cosa molto interessante: alcuni hacker hanno diffuso gratis tramite Torrent una gigantesca raccolta da 2,2 miliardi di combinazioni di nome utente e password. Erano dati vecchi e senza alcun valore, ma ancora buoni per fare credential stuffing.

Come si fa il credential stuffing

Come potrai ben immaginare, nessun hacker si metterà mai a provare manualmente due miliardi di combinazioni su decine, anzi centinaia, di siti differenti. Lo fa in modo automatizzato. Sempre sul Dark Web, infatti, si trovano anche appositi tool per automatizzare il credential stuffing. Alcuni di questi strumenti sono così raffinati da includere anche un generatore di CAPTCHA e da simulare i tentativi d'accesso da diversi indirizzi IP, tra l'altro in modo scaglionato nel tempo per evitare di mettere in allerta i meccanismi di sicurezza dei server dei servizi ai quali tentano di accedere. Tramite questi stratagemmi, quindi, gli hacker riescono a indirizzare milioni di tentativi facendoli sembrare reali accessi da parte di esseri umani.

Hacker ruba dati

Quanto rende il credential stuffing

Ogni attività criminale, credential stuffing compreso, ha il suo rapporto costi/benefici. Gli strumenti per fare questa attività si trovano a buon prezzo sul Dark Web, mentre i dati per fare credential stuffing hanno un prezzo che dipende da quanto sono freschi. Ma in ogni caso la percentuale di successo è molto bassa: raramente (cioè nei casi in cui l'hacker ha trovato un database buono) si riesce a raggiungere il 2% dei profili "che entrano" provando milioni di combinazioni. Va anche detto che violare un profilo non porta sempre ad un guadagno: una cosa è violare una carta di credito o un conto corrente, che possono essere ripuliti, un'altra è violare un indirizzo e-mail che al massimo ti permette di fare un po' di spam o di far circolare qualche virus.

Come difendersi dal credential stuffing

Ricerca password

Dopo tutto quel che abbiamo detto una cosa è chiara: se tutti noi usassimo un nome utente e una password diversi per ogni sito in cui ci registriamo, allora il credential stuffing nemmeno esisterebbe. Il gioco consiste proprio nell'usare le credenziali per il sito A anche nel sito B, C, D, etc etc. Il primo modo (in realtà l'unico) per difendersi da questa attività criminale è quindi quello di variare il più possibile le nostre credenziali di accesso e non registrarsi mai ad un nuovo sito con user name e password già usate altrove. È chiaro che, con tutti i siti che oggi ci chiedono di registrarci, la cosa può diventare quanto meno scomoda. Ma la soluzione c'è: un buon password manager ci permette di scegliere un nuovo nome utente e una nuova password per ogni sito e, subito dopo, di dimenticarcela. Se quel singolo sito verrà un giorno violato, però, non avremo regalato agli hacker l'accesso anche ad altri nostri profili.

 

28 aprile 2019

copyright CULTUR-E

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #hacker #furto password #sicurezza informatica

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.