Credential Stuffing: cos’è e come difendersi?

Cosa si intende per credential stuffing?

Hai presente quando gli esperti di cybersecurity dicono di non utilizzare le stesse credenziali su più siti, app o servizi online? Ecco, una delle ragioni per cui continuano a ripeterlo è il “Credential Stuffing”. Il credential stuffing è un attacco informatico che sfrutta l’automazione e la scarsa igiene digitale degli utenti (diremmo, la prevedibilità del comportamento umano). Alla base di questi attacchi c’è un principio semplice ma efficace: molte persone riutilizzano le stesse combinazioni di username e password su più servizi online. I criminali informatici approfittano di questo comportamento utilizzando elenchi di credenziali rubate da precedenti violazioni di dati e messe in vendita sul dark web, che vengono poi inseriti automaticamente su altri siti tramite script o bot. Quando trovano corrispondenze valide, gli hacker ottengono accesso immediato agli account, spesso senza che l’utente se ne accorga. Si tratta quindi di attacchi a bassa complessità tecnica, ma ad alta efficacia.

Come funziona il credential stuffing? Tecniche e strumenti utilizzati

Sono numerosi gli strumenti e gli archivi online che gli hacker possono utilizzare per portare a termine attacchi di credential stuffing. Gli username e le password impiegati in questi attacchi provengono spesso da database pubblici o da forum del dark web, dove vengono scambiati o venduti. Tuttavia, possono anche essere reperiti in luoghi insospettabili, come, ad esempio, la piattaforma Pastebin, dove vengono pubblicati — più o meno volontariamente — o persino tramite semplici ricerche su Google, grazie all’uso delle cosiddette Google Dorks. Si tratta di comuni query arricchite da parole chiave specifiche, che permettono di raffinare i risultati e, in alcuni casi, individuare file e pagine contenenti dati sensibili lasciati incautamente accessibili online. Sebbene questa tecnica possa avere usi leciti, viene spesso sfruttata dai cybercriminali per scovare vulnerabilità.

Per l’automatizzazione dell’attacco, gli attaccanti si servono di strumenti come OpenBullet, Snipr o altri software altamente configurabili, in grado di inviare migliaia di richieste di login verso diversi siti in modo rapido e sistematico. Questi bot cambiano costantemente indirizzo IP e simulano il comportamento di utenti reali per evitare di essere bloccati da sistemi di sicurezza come i Web Application Firewall (WAF). Possono anche aggirare i CAPTCHA tramite servizi esterni e analizzare le risposte dei siti per capire se l’accesso ha avuto successo.

Per ottenere le credenziali, i criminali informatici sfruttano tecniche come il phishing, gli attacchi SQL injection, fino all’analisi di errori di configurazione nei siti web, come file di backup lasciati visibili o parametri di accesso inclusi nei link. Una volta ottenute, le credenziali vengono testate automaticamente dai bot su decine o centinaia di siti diversi, sfruttando il fatto che molte persone usano la stessa password per più account. Se anche solo una combinazione funziona, l’attaccante può accedere all’account della vittima, sottrarre dati sensibili o compiere frodi.

Perché il credential stuffing è così pericoloso?

Gli attacchi di credential stuffing possono avere conseguenze gravi, sia per gli utenti individuali che per le organizzazioni. La compromissione di un singolo account, infatti, non si limita all’accesso non autorizzato, ma può innescare una serie di ulteriori violazioni, con impatti economici, reputazionali e legali. Ecco alcuni dei principali rischi:

• Accesso non autorizzato ad account personali o aziendali: gli attaccanti possono violare email, social network, servizi bancari e piattaforme aziendali.
• Furto di dati sensibili e informazioni riservate: inclusi dati personali, documenti aziendali, informazioni finanziarie o sanitarie.
• Furto di identità e frodi: le credenziali rubate possono essere usate per impersonare la vittima o commettere truffe online.
• Danni economici: gli attacchi possono causare perdite dirette di denaro, sia per utenti privati che per imprese.
• Danni reputazionali: per le aziende, una violazione può minare la fiducia di clienti, partner e investitori.
• Conseguenze legali: in caso di violazione di normative sulla protezione dei dati (come il GDPR), si rischiano multe e sanzioni anche molto serie.
• Costi operativi di ripristino: le aziende devono affrontare spese per indagini, comunicazione di crisi e rafforzamento della sicurezza.

Chi sono gli utenti o le aziende più sensibili agli attacchi credential stuffing?

Chiunque può cadere vittima di un attacco informatico, lo diciamo spesso. Tuttavia, ci sono comportamenti e condizioni che rendono utenti e aziende più a rischio di altri. Nel caso del credential stuffing, gli utenti più esposti sono quelli che riutilizzano le stesse credenziali — nome utente e password — su più servizi online. È un'abitudine ancora molto diffusa che facilita il lavoro dei cybercriminali.

Anche dal punto di vista aziendale, non tutti i settori sono esposti allo stesso modo. I più a rischio sono quelli in cui l’accesso a un account compromesso può tradursi in guadagni economici diretti, furto di dati ad alto valore o danni reputazionali significativi. Tra i principali:

• Settore finanziario: le piattaforme di online banking, le app di investimento o i wallet digitali sono un bersaglio privilegiato perché offrono accesso diretto a fondi o informazioni bancarie sensibili.
• Intrattenimento digitale e gaming: gli account possono contenere abbonamenti, dati di pagamento o beni digitali (come oggetti di gioco o crediti), facilmente monetizzabili sul mercato nero.
• Servizi SaaS (Software-as-a-Service): l’accesso non autorizzato a software aziendali può esporre informazioni riservate, proprietà intellettuale o dati dei clienti, con conseguenze economiche e legali rilevanti.
• E-commerce e marketplace: qui gli attaccanti puntano a ordini fraudolenti, saldi residui o dati di pagamento salvati negli account.

In generale, possiamo dire che più un account è associato a informazioni personali, dati sensibili o risorse economiche, maggiore sarà il suo valore e, quindi, il rischio di subire un attacco di credential stuffing.

Come prevenire il credential stuffing?

Prevenire gli attacchi di credential stuffing richiede una combinazione di buone pratiche da parte degli utenti e misure di cybersecurity solide ed efficaci da parte delle aziende. Ecco alcune delle strategie più utili:

• Utilizzare password uniche e complesse. Abbiamo già detto che riutilizzare le stesse credenziali su più servizi è una pratica pericolosa da evitare. L’ideale è, quindi, creare password sicure e diverse per ogni account posseduto. Per gestirle con facilità e sicurezza, può essere utile un password manager, come NordPass, che memorizza e genera credenziali complesse in modo sicuro.
• Attivare l’autenticazione a due fattori (2FA). Anche se un hacker entra in possesso di una password, la 2FA aggiunge un ulteriore livello di protezione, richiedendo un secondo step di verifica, come un codice temporaneo inviato via SMS o generato da un’app o l’uso dei dati biometrici.
• Usare una VPN. Una rete privata virtuale (VPN) protegge la connessione crittografando i dati trasmessi. È particolarmente utile quando ci si collega da reti Wi-Fi pubbliche, che possono essere facilmente intercettate da malintenzionati. Per avere privacy e sicurezza, ti consigliamo di scaricare la nostra app VPN.
• Implementare limiti e controlli sui tentativi di accesso. I siti e le app dovrebbero applicare sistemi di difesa come CAPTCHA o altri sistemi anti-bot, per limitare il numero di tentativi di login e monitorare i comportamenti sospetti. Questi accorgimenti aiutano a bloccare le attività automatiche tipiche degli attacchi di credential stuffing.
• Monitorare le violazioni di dati. Essere informati su eventuali compromissioni delle proprie credenziali (attraverso servizi come “Have I Been Pwned”- haveibeenpwned.com.) permette di agire tempestivamente, cambiando le password prima che vengano sfruttate.

Cosa fare in caso di attacco credential stuffing subìto o in corso?

Se sei vittima di un attacco di credential stuffing è importante agire tempestivamente per limitare i danni e prevenire ulteriori violazioni. Ecco le azioni da intraprendere:

1. 1.Bloccare temporaneamente gli account compromessi. Se hai accesso all’account, disconnetti tutte le sessioni attive e sospendi l’utilizzo temporaneo del servizio, se possibile. Questo può impedire all’attaccante di continuare a operare.
2. 2.Cambiare immediatamente le password. Modifica la password dell’account violato e di tutti gli altri in cui usi la stessa combinazione di credenziali. Utilizza una password forte, unica e mai riutilizzata. Se non lo hai già fatto, abilita la 2FA per aggiungere un secondo livello di sicurezza.
3. 3.Avvisare il team IT o il servizio clienti. Se l’attacco riguarda un ambiente aziendale o una piattaforma online, segnala l’accaduto al team IT o al servizio clienti: potranno intervenire più efficacemente per proteggere i dati e contenere il rischio.
4. 4.Verificare eventuali accessi o modifiche sospette. Controlla l’attività recente dell’account: login da IP sconosciuti, modifiche ai dati personali od operazioni non autorizzate sono segnali da non ignorare.
5. 5.Monitorare eventuali casi di furto d’identità. Se le credenziali compromesse contenevano dati personali sensibili, potresti essere a rischio di furto d’identità. Tieni sotto controllo eventuali attività insolite su email, conti bancari o altri account online.