Credential stuffing: oltre 28 miliardi di tentativi di furto account solo nella seconda metà del 2018

Nel corso della seconda metà del 2019, tra Maggio e Dicembre 2018, sono stati rilevai circa 28 miliardi di tentativi di “credential stuffing“: al centro di questo tipo di attacchi i siti web di vendita online al dettaglio, categoria che ha registrato da sola ben 10 miliardi di tentativi.
Sono i dati pubblicati da Akamai nel report “State of the Internet / Retail Attacks and API Traffic report -2019“, dati che dimostrano una drastica crescita dell’uso in larga scala di botnet per attacchi di credential stuffing.
Che tipo di attacco è il “credential stuffing”?
è un tipo di cyber attacco piuttosto recente che sfrutta l’enorme quantità di data breaches registrati negli anni passati. Lo scopo è quello di prendere possesso degli account di quegli utenti che (pessima abitudine!) usano le stesse credenziali di accesso su diversi servizi ed account. I cyber attaccanti cioè, partendo dai database di credenziali rubate in vendita nel deep web, non fanno altro che tentare le stesse combinazioni di username e password su siti e servizi che non hanno ancora subito intrusioni.
Un esempio su tutti, il caso Yahoo

qualcuno ricorderà che Yahoo ha subito uno dei più estesi data breach della storia, con le credenziali di oltre un miliardo e mezzo di utenti finiti nelle mani dei cyber criminali. Poco dopo quel data breach sono stati registrati migliaia di accessi non autorizzati su servizi non violati (sopratutto Teamviewer, Dropbox e vari provider di posta elettronica): i cyber criminali hanno, molto semplicemente, riutilizzato le stesse credenziali sottratte a Yahoo per accedere negli account relativi ad altri servizi.

Qualche numero
il report di Akamai mostra una drastica crescita dell’uso su larga scala di botnet per attacchi di “credential stuffing”: i dati parlano di circa 115 milioni di tentativi di login o di accessi al giorno, solo per i target retail. Il report si concentra sugli AIO (all-in-one) bot che sono strumenti multi funzione che consentono acquisizioni rapide di account sfruttando, appunto, le credenziali rubate assieme a una serie di tecniche di evasione: tutto ciò consente ad un singolo bot AIO di colpire ben 120 rivenditori online in una sola volta.
Sottrazione di account: ecco il vero risultato del credential stuffing attack
i cyber attaccanti dietro alle campagne di attacco di questo tipo, li organizzano in maniera tale da renderli completamente automatizzati, utilizzando enormi raccolte di credenziali rubate comprate nel web sommerso, sfruttandole per i vari tentativi di accesso. Quando riescono ad accedere ad un account possono succedere varie cose: gli attaccanti possono cambiare email di recupero e  password, così da chiudere fuori dall’account il proprietario legittimo, oppure possono sfruttarlo di nascosto, senza modificare nome e password. Molto spesso questi account vengono immediatamente rivenduti nel deep web, oppure sfruttati per vendere i vantaggi e i bonus trovati sugli account: codici sconto, abbonamenti, articoli in edizione limitata.
Nella maggior parte dei casi, le sottrazioni di account portano solo ad alcuni vantaggi persi dai clienti retail, ma ci sono casi in cui gli attaccanti riescono ad ottenere l’accesso ai dettagli aziendali, a quelli di un rivenditore o ad una delle aziende nella catena di fornitura.  Quest’ultima evenienza è molto grave, perchè apre la strada ad ulteriori, sopratutto di spear phishing (phishing aziendale): in questo caso, se gli attaccanti sono esperti, le perdite monetarie dell’azienda violata potrebbero essere notevoli.
Le credenziali rubate sono una risorsa abbondante
A metà Gennaio è stata individuata nel deep web la più grande raccolta di credenziali rubate (username e password in chiaro) mai individuata: parliamo di Collection #1, un archivio di oltre 87.18 GB di credenziali rubate.  Quella raccolta conteneva non meno di 770 milioni di indirizzi email univoci e le relative password. Ma era solo un assaggio: l’intero archivio, scoperto poco dopo, era in vendita a soli 45 dollari contiene 993 GB di username, password e altri dati.
Più recentemente, il 14 Febbraio, sono stati sottratti oltre 127 milioni di record da 8 diverse aziende: tutti dati messi immediatamente in vendita nel deep web nel marketplace Dream Market, al costo dell’equivalente di 14.500 dollari in Bitcoin. La settimana precedente, con un attacco molto simile, erano stati invece messi in vendita, sempre su Dream Market, circa 620 milioni di acount al costo di 20.000 dollari in Bitcoin.
Come sapere se il mio account è stato violato?
consigliamo di verificare eventuali violazioni dei propri account tramite il sito haveibeenpwned.com: questo sito, tenuto dal ricercatore di sicurezza Troy Hunt è fornito di un database aggiornato con tutti i data breach avvenuti negli ultimi anni.