9 modi migliori per proteggere la tua azienda dal riempimento delle credenziali

Pubblicato: 2022-12-08

Sapevi che nel 2019 i nomi utente e le password di circa 4 milioni di utenti Canva sono stati rubati, decifrati e condivisi online?

Questo è stato un attacco di riempimento delle credenziali.

Confuso?

Prima di andare avanti, capiamo cosa significa questo termine.

Cos'è un attacco di credential stuffing?

Un attacco di credential stuffing è un metodo di attacco informatico in cui i criminali informatici prendono il controllo di enormi database contenenti le credenziali degli utenti per violare un sistema. Questi criminali utilizzano un sistema automatizzato per accedere a nomi utente e coppie di password violati in precedenza nel campo di accesso al sito web.

Tentano di accedere all'account utente su piattaforme diverse dopo aver trovato la giusta coppia di nomi utente e password.

Cos'è un attacco di credential stuffing?

Fonte

Questi criminali informatici dirottano gli account a cui sono in grado di accedere.

Questa tecnica sta diventando sempre più popolare poiché gli hacker alle prime armi hanno strumenti prontamente disponibili per accedere a centinaia di servizi e siti Web online.

Secondo la ricerca, le aziende subiscono una media di 12,7 attacchi di credential stuffing ogni mese, il che causa una perdita di ben 6 milioni di dollari.

Con così tanto sul tavolo, le aziende devono proteggere la propria attività dagli attacchi di credential stuffing.

9 modi migliori per proteggere la tua azienda dal riempimento delle credenziali

9 modi migliori per proteggere la tua azienda dal credential stuffing

Utilizza questi metodi per proteggere la tua azienda da potenziali reati di credential stuffing:

  1. Utilizzare l'autenticazione a più fattori durante l'accesso

Per impedire che si verifichino crimini informatici, utilizza l'autenticazione a più fattori (MFA) per consentire ai clienti di accedere alle tue piattaforme online. L'obiettivo principale dell'utilizzo dell'MFA è ridurre il rischio di furto di account e fornire sicurezza agli account dei clienti.

Oltre a richiedere il nome utente e la password, MFA richiede ai clienti di completare un ulteriore fattore di verifica, riducendo drasticamente la probabilità di un attacco online riuscito.

Utilizzare l'autenticazione a più fattori durante l'accesso

Fonte

La maggior parte delle aziende preferisce utilizzare password monouso o OTP, che sono codici da 4 a 8 cifre che ricevi sul tuo cellulare o e-mail.

Statistiche interessanti: il 61% dei clienti utilizza la stessa password su più servizi, rendendo MFA un must per impedire che l'account del tuo cliente venga violato.

  1. Evita di utilizzare gli indirizzi e-mail come nomi utente

Poiché la base degli attacchi alle credenziali è che le persone riutilizzano lo stesso nome utente e la stessa password, rende il lavoro di un criminale informatico molto più semplice quando i tuoi clienti utilizzano il loro indirizzo e-mail come nome utente.

Chiedi agli utenti di avere indirizzi e-mail e nomi utente diversi, in quanto diminuisce la probabilità che i clienti utilizzino la stessa combinazione di nomi utente e password su più siti web.

  1. Concentrati sugli avvisi di soglia per rilevare i tentativi di accesso non riusciti

È una tecnica molto efficace per bloccare le istanze di attacchi informatici di credential stuffing. Quando un sistema rileva un numero "x" di tentativi di accesso falliti, invia un messaggio automatico all'utente sui tentativi falliti ed esegue uno script personalizzato per fermarli.

Questi script disabilitano temporaneamente la funzionalità di accesso o addirittura chiudono il server, impedendo al criminale informatico di ottenere l'accesso non richiesto all'account di un utente.

Statistiche interessanti: nel 2020, 3,4 miliardi di attacchi di credential stuffing hanno colpito banche e altri servizi finanziari.

  1. Avere una password complessa e una politica di autenticazione

Uno dei metodi di prevenzione più semplici e più diffusi consiste nell'avere una password complessa e una politica di autenticazione. Incoraggia i clienti e i dipendenti a utilizzare i gestori di password per generare password univoche e complesse.

Avere una password complessa e una politica di autenticazione

Fonte

Insegna ai tuoi dipendenti e clienti i vantaggi di avere password diverse per account diversi.

Inoltre, imposta un limite rigoroso al numero di richieste di accesso non riuscite.

Ad esempio, le banche consentono solo 3-5 tentativi prima di bloccare temporaneamente il conto del cliente.

I clienti devono visitare una banca o parlare con un addetto al servizio clienti per sbloccare i loro conti.

Inoltre, incoraggia i tuoi dipendenti e clienti a reimpostare regolarmente le loro password.

È interessante notare che l'81% delle violazioni dei dati si verifica quando i clienti utilizzano una password debole o credenziali altrimenti compromesse per accedere ai propri account.

  1. Adotta l'autenticazione senza password

Molte aziende stanno utilizzando un modo nuovo e innovativo per prevenire gli attacchi informatici di credential stuffing: l'autenticazione senza password.

Invece di utilizzare una password per identificare un cliente, l'autenticazione senza password verifica un cliente utilizzando il proprio dispositivo, un altro account o dati biometrici.

L'autenticazione senza password migliora la sicurezza dell'accesso. Elimina il potenziale furto di password.

Tali metodi salvano i tuoi clienti dal fastidio di ricordare password lunghe e complesse.

Statistiche interessanti: il 78% dei clienti della Gen-Z utilizza la stessa password per più account online.

  1. Utilizzare un firewall per applicazioni Web (WAF)

L'implementazione di un firewall per applicazioni Web è un modo eccellente per rilevare il traffico anomalo dei criminali informatici.

La maggior parte dei WAF identifica potenziali tentativi di accesso, soprattutto quando i criminali informatici tentano improvvisamente molti tentativi.

Oltre a identificare potenziali istanze di credential stuffing, WAF previene le violazioni dei dati causate durante un attacco web.

Consiglio dell'esperto: implementa WAF su tutti i tuoi siti Web per prevenire violazioni dei dati e riempimento delle credenziali.

  1. Usa l'hashing delle credenziali

Per impedire ai criminali informatici di rubare le password, utilizzare l'hashing delle credenziali. Nel processo di hashing delle credenziali, il sistema codifica la password di un utente prima di memorizzarla nel database. Anche se i criminali informatici ottengono l'accesso a queste password, non saranno in grado di utilizzarle.

Sebbene l'hashing delle password possa essere troppo efficace nel prevenire il credential stuffing, aiuta a limitare ciò che i criminali informatici possono fare con quelle password rubate.

Consiglio dell'esperto: l'hacking delle credenziali differisce dalla crittografia in quanto è una funzione crittografica unidirezionale, mentre la crittografia funziona in entrambe le direzioni. Poiché il processo di crittografia è reversibile,

i criminali informatici ottengono la chiave segreta per decifrare il testo.

  1. Usa la lista nera degli IP

Di solito, i criminali informatici hanno accesso a un pool limitato di indirizzi IP. Quando noti tentativi di accesso a più account dallo stesso indirizzo IP, inserisci nella blacklist tutti questi indirizzi IP.

Per evitare di cadere preda di falsi positivi, tieni traccia degli ultimi diversi indirizzi IP utilizzati per accedere all'account del tuo cliente. Quindi, confronta gli indirizzi IP con quelli sospetti.

Usa la lista nera degli IP

Fonte

L'unico aspetto negativo dell'utilizzo del backlisting IP è che i criminali informatici potrebbero utilizzare tecniche come lo spoofing IP, che dà l'impressione che si stiano connettendo al sistema utilizzando un indirizzo IP diverso.

Ciò consente ai criminali informatici di aggirare la lista nera oscurando la propria identità.

Consiglio dell'esperto: un processo completo di blacklist IP impedisce ai criminali informatici di rubare le credenziali e ottenere l'accesso alle credenziali del cliente.

  1. Blocca l'uso di browser headless

Un browser headless è un browser web senza un'interfaccia utente. Sebbene questi browser accedano alla pagina Web, l'interfaccia utente grafica o GUI è nascosta agli utenti.

In genere, gli sviluppatori utilizzano browser headless per il test di siti Web e applicazioni e per il test della libreria JavaScript, ma i criminali informatici li utilizzano per frodi sui clic e per ottenere l'accesso alle credenziali dei clienti.

Bloccare l'accesso a questi browser headless significa impedire attività sospette.

Consiglio dell'esperto: poiché questi browser non dispongono di una GUI per navigare, controlli o blocchi tali browser utilizzando script automatici o un'interfaccia della riga di comando.

Esempi di attacchi di credential stuffing

Sin dal suo inizio, gli attacchi di credential stuffing hanno avuto un impatto sulle aziende di ogni settore. Alcuni attacchi importanti e degni di nota sono:

La parete nord

The North Face, un noto rivenditore all'aperto, ha affrontato un massiccio attacco di credential stuffing nel 2020. Gli aggressori hanno avuto accesso a informazioni, come nomi di clienti, numeri di telefono, fatture, indirizzi di spedizione, preferenze e-mail e prodotti preferiti.

Dopo l'attacco, North Face ha dovuto reimpostare le password per un numero imprecisato di clienti. Inoltre, la società ha ridotto il tasso di accesso all'account da qualsiasi fonte sospetta.

HSBC

Verso la fine del 2018, HSBC ha affrontato un grave attacco di credential stuffing, che ha compromesso la sicurezza finanziaria di migliaia di clienti.

La banca ha sospeso l'accesso ai conti online per tutti i clienti interessati e ha avviato le procedure per la modifica delle password per i conti bancari online. Alla fine la banca ha applicato varie misure di sicurezza informatica per impedire il verificarsi di futuri attacchi.

DailyMotion

Nel 2019, DailyMotion ha riscontrato un attacco di credential stuffing su larga scala e in corso da parte di criminali informatici. La piattaforma di condivisione video ha allertato tutti i suoi clienti interessati e ha fornito un supporto personalizzato a ciascuno di loro.

Dunkin Donut

In tre mesi, Dunkin Donuts è stato vittima due volte di un attacco di credential stuffing. Gli aggressori hanno ottenuto l'accesso al nome, cognome, indirizzo e-mail e numero di conto Dunkin Donuts a 16 cifre del cliente e al codice QR dei vantaggi. Dunkin Donuts ha informato attivamente i clienti di questo attacco.

L'azienda ha utilizzato varie misure per prevenire ulteriori attacchi e garantire la sicurezza dei dati dei clienti.

Prevenire gli attacchi di credential stuffing come un professionista

Sebbene non esista una soluzione definitiva per prevenire gli attacchi informatici di riempimento delle credenziali, seguire le misure sopra menzionate fornisce un ulteriore livello di sicurezza.

I criminali informatici e i tuoi clienti utilizzano gli stessi browser, quindi la tua azienda necessita di una solida ed efficiente protezione da credential stuffing per rilevare potenziali attacchi.

Indipendentemente dal fatto che tu sia una piccola o media impresa, è indispensabile avere un partner di sicurezza affidabile che ti aiuti a soddisfare i tuoi requisiti di sicurezza e garantire che le credenziali dei tuoi clienti rimangano in mani sicure.

Non lasciare nulla di intentato durante l'implementazione di questi nove suggerimenti, poiché si tratta della tua attività e dei tuoi clienti e devi proteggere le loro credenziali.