Credential Stuffing
SICUREZZA INFORMATICA

Credential Stuffing, l’altra faccia della Digitalizzazione

Di Pierguido Iezzi

Non sono esattamente novità assolute, ma due tipi di Cyber attacco – complementari – sembrano aver tratto un grandissimo beneficio dalla trasformazione digitale: Credential Stuffing e Account Takeover.

Queste due metodologie sembrano aver tratto il massimo vantaggio dall’introduzione massiva dei Big Data, della diffusione dei software as a service sempre più rapidi e dell’automazione di processo, inondando la rete con massicce campagne d’attacco già a partire dal 2018.

Il Credential Stuffing è uno dei più semplici exploit da portare a termine e quindi uno dei metodi preferiti dai Criminal Hacker. Con questa tecnica, l’attaccante raccoglie le credenziali trapelate (di solito esfiltrate in occasione di Data Breach o acquisite sul Dark Web) e le applica a una serie di altri account della vittima prescelta, sperando che la stessa combinazione di account/password sia stata utilizzata in altri account per prenderne il controllo (da qui account Takeover).

Sfortunatamente la maggior parte degli utenti, grazie al proliferare di portali online e servizi simili, hanno la brutta abitudine di riutilizzare le proprie credenziali, cosa su cui contano molto i Criminial Hacker – motivo per il cui la tecnica è molto efficace –.

E non si tratta neppure di un attacco che richiede skill particolarmente avanzate. Anzi, criminali con pochissima – o addirittura nessuna – esperienza informatica, grazie a software appositi, possono controllare e incrociare le credenziali di accesso di milioni di utenti rispetto a centinaia di siti web e servizi online come Netflix e Spotify in pochi minuti.

Come se non bastasse il livello di sofisticazione di queste minacce informatiche è in aumento e la percezione è che il pericolo non farà altro che aumentare. Per contrastare il fenomeno potrebbero essere necessarie modifiche significative ai modelli di autenticazione per alterare la traiettoria di crescita di questi attacchi.

Dal punto di vista puramente disruptive l’impressione è che il credential stuffing e l’account takeover stiano solo iniziando.

Il Dark Marketplace

L’aumentare di questo fenomeno coincide in parallelo con un altro fenomeno legato al mondo della criminalità informatica. Emersi per la prima volta tra la fine del 2014 e l’inizio del 2015, gli e-commerce del Dark web hanno improvvisamente conosciuto un’impennata di popolarità. Le nuove piattaforme, imitando i servizi di eBay e Amazon, hanno iniziato a prendere seriamente piede nel mondo underground del Cyber Crime.

Quasi da un giorno all’altro, i vecchi modi del commercio darknet, in cui acquirenti e venditori negoziavano e concludevano affari su base peer-to-peer, sono diventati obsoleti. Con l’avvento dei negozi automatizzati, la necessità di un impegno manuale è stata eliminata e il business degli account rubati è passato, appunto, da transazioni dirette e – paradossalmente – meno affidabili a un’impresa molto più democratizzata e aperta a tutti.

In breve, le nuove “vetrine” del dark web hanno permesso la formazione di modelli di “Cyber Criminal Business”. Proprio con la nascita di quello nuovo modello sono salite in primo piano bot e botnet.

Quello che chiamiamo bot non è altro che un nodulo di calcolo con una piccola parte di codifica che fa sì che obbedisca alle istruzioni di un server di comando e controllo (CnC).

Logicamente la botnet è una rete di migliaia e migliaia di bot sotto il controllo di un aggressore che le utilizza per portare avanti una serie di attacchi, dai DDoS al – appunto – Credential Stuffing.

L’efficacia di queste è sotto gli occhi di tutti, essendo state parte integrante nei Data Breach più noti degli ultimi anni come Capital One, Marriott ed Equifax.

Ma, come se non bastasse, negli anni scorsi anche istituti finanziari, ospedali, televisioni, giganti della tecnologia ed enti governativi sono finiti sotto attacco da parte di queste tecnologie.

Grazie alle botnet, se avete mai avuto un account con una delle qualsiasi delle imprese violate, i vostri dati personali, compresi i vostri nomi utente e le vostre password preferite, sono stati probabilmente rubati più volte. Si stima che nella darknet circolino oltre 1,5 miliardi di coppie di username e password rubate.

E i Criminal Hacker non sono immobili, sempre alla ricerca di nuovi modi per monetizzare i nomi utente e le password rubati. Così, quando sono arrivati gli e-commerce del Dark Web, l’automazione e lo “scale-up” nella distribuzione delle credenziali sono seguiti rapidamente.

Ciò che è emerso è stato un vero e proprio ecosistema a supporto della monetizzazione delle credenziali rubate.

Perché le botnet

Naturalmente le botnet continuano ad essere il motore di ogni tipo di attività criminale online. L’ascesa del Dark Web Marketplace – e l’escalation di Credential stuffing e Account Takeover – ha infuso loro nuova vita.

Molte botnet sono state riorientate per concentrarsi sull’iniezione di login rubati, acquisiti in massa negli e-commerce underground, in siti web mirati.

Queste reti sono perfettamente adatte a questo scopo, 24 ore su 24, 7 giorni su 7, fino a quando non viene trovato un riscontro e si ottiene un accesso non autorizzato.

Nel 2018 sono stati rilevati una media di oltre 100 milioni di tentativi di accesso “ostili” ogni giorno, compresi tre giorni di picco in cui i tentativi di riempimento delle credenziali hanno superato i 250 milioni – circa 30 miliardi in totale per l’anno. Gli attacchi hanno colpito diversi settori, dai media e dall’intrattenimento al commercio al dettaglio fino al gaming.

Il motivo di questa crescita è anche da ricondurre a tre fattori convergenti.

In primo luogo, come già accennato, i consumatori amano riutilizzare le credenziali su più siti. In secondo luogo, centinaia di milioni di login rubati, compresi quelli più vecchi rubati anni fa, rimangono prontamente disponibili e possono avere ancora un valore per i Criminal Hacker. Infine, oggi, ci vuole un know-how tecnologico minimo per ottenere e utilizzare strumenti e servizi a basso costo per portare avanti attacchi di Credential Stuffing e account takeover.

Siamo insomma davanti a una specializzazione del Cyber Crime.

Gli strumenti: agili e facili da utilizzare

La trasformazione digitale è sicuramente distinta dalla rapidità nello sviluppo di soluzioni rapide e agili con sempre più funzionalità; lo stesso si potrebbe dire dei software che vengono sviluppati per fare Credential stuffing.

Da STORM, in grado di rilevare e bypassare qualsiasi meccanismo anti-malware che il proprietario del sito web potrebbe avere in atto a SNIPR, studiato appositamente per operare contro i portali del gaming online, stiamo osservando una vera e propria taylorizzazione di questi strumenti.

Gli stessi economics degli attacchi devono far preoccupare. Per esempio tutti i dati, gli strumenti e i servizi necessari per iniettare 3,8 milioni di login in siti web mirati possono essere acquistati da chiunque per 2.999 dollari sul Dark Web.

Inoltre un attacco su scala comparativamente ridotta, che verifica 100mila login nel corso di una settimana, può essere lanciato da chiunque per 550 dollari.

Il tasso di successo? Anche facendo una stima conservativa stiamo parlando del 2,5% dei tentativi di Stuffing utilizzando i 100mila login che aprono effettivamente conti live su siti web come Amazon, PayPal, eBay, Expedia, Airbnb e FedEx. Il guadagno lordo approssimativo stimato sarebbe di 19mila dollari.

Cosa ci riserva il futuro?

Per far funzionare questo ecosistema, qualcuno sta pagando le credenziali “base” da 50 centesimi a 3 dollari per ogni login convalidato. Questi threat actor di livello superiore sono quelli che stanno effettivamente usando i login convalidati per prendere il controllo degli account.

Al momento, i login validi per i siti l’online banking, la vendita al dettaglio, il gaming e altre forme di intrattenimento come Netflix sono molto richiesti.

Questi account takeover costituiscono la base per commettere vari tipi di frodi sui conti, ma danno anche all’aggressore la possibilità di penetrare più a fondo nel sito web.

C’è anche un altro nuovo tipo di attività dannosa abilitata da queste metodologie. Si tratta di manipolare le logiche di business delle applicazioni rivolte al cliente.

Le compagnie aeree, per esempio, sono in una continua battaglia contro una variante di questo tipo di acquisizione di account, chiamata “seat spinning”.

L’aggressore, connesso come cliente valido, mette un biglietto in attesa in un carrello come se lo volesse comprare, ma non lo fa fino a quando non vende quel biglietto a un prezzo più alto attraverso un altro servizio.

C’è solo un vero modo per sconfiggere questi attacchi: migliorare le abitudini di sicurezza legate alle password o addirittura sostituire completamente le password con una forma di verifica dell’identità più robusta.

Ma non è probabile che questo avvenga nell’immediato…

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963