La lotta della sicurezza informatica si sta concentrando sulle identità digitali, con un quinto delle richieste di autenticazione provenienti da sistemi automatizzati dannosi.
La nuova ricerca degli F5 Labs “2023 Identity Threat Report: The Unpatchables” ha analizzato 320 miliardi di transazioni di dati avvenute nei sistemi di 159 organizzazioni tra marzo 2022 e aprile 2023.
In assenza di mitigazioni, il tasso medio di automazione – un chiaro indicatore di attacchi di credential stuffing – era del 19,4%. Tuttavia, quando il traffico dannoso viene mitigato in modo proattivo, questo tasso si riduce di oltre due terzi, scendendo al 6%.
Gli attacchi di credential stuffing prevedono che i malintenzionati sfruttino nomi utente e password rubati da un sistema per violarne altri. Questo tipo di attacco sfrutta strumenti automatizzati che consentono agli aggressori di massimizzare il numero di tentativi.
“Le identità digitali sono da tempo nel mirino degli aggressori e la minaccia sta crescendo con l’ascesa della identità non umane”, ha dichiarato Sander Vinberg, Threat Research Evangelist degli F5 Labs. “La nostra ricerca mette in luce il livello di attacco che le identità digitali stanno subendo e l’importanza di mettere in atto una mitigazione e contromisure efficaci. È significativo notare come l’uso dell’automazione dannosa diminuisca rapidamente quando sono attive le protezioni, costringendo gli aggressori a rinunciare in cerca di obiettivi più vulnerabili.”
Mitigazioni: un confronto prima e dopo
Una parte fondamentale dello studio si è concentrato sull’effetto delle misure di mitigazione sugli attacchi di “credential stuffing”. È emerso infatti che queste contromisure tendevano a modificare il comportamento degli aggressori, portando a una significativa diminuzione nell’impiego di automazione dannosa.
Gli F5 Labs hanno rilevato che, senza mitigazioni, gli attacchi erano maggiormente mirati contro gli endpoint mobili piuttosto che a quelli web. Tuttavia, dopo l’introduzione delle mitigazioni, si è osservato un calo maggiore degli attacchi diretti ai dispositivi mobili, e la maggior parte degli attacchi successivi hanno preso di mira gli endpoint web.
Le mitigazioni adottate hanno influito anche sul livello di sofisticazione degli attacchi.
Contro gli endpoint di autenticazione non protetti, il 64,5% del traffico dannoso comprendeva attacchi classificati come “base”, il che significa nessun tentativo di emulare il comportamento umano o di contrastare la difese contro i bot. Dopo l’introduzione delle misure di mitigazione, la percentuale di questi attacchi è scesa al 44%.
Al contrario, gli attacchi definiti “intermedi”, che compiono un maggiore sofisticazione nel contrastare le soluzioni anti-bot, sono diventati molto più diffusi con la mitigazione, passando dal 12% al 27%. Gli attacchi più sofisticati, che impiegano strumenti in grado di simulare con precisione l’interazione umana, come i movimenti del mouse, la pressione dei tasti e le dimensioni dello schermo, sono aumentati dal 20% al 23%.
“La nostra analisi evidenzia che molti aggressori desistono quando vengono attivate le protezioni”, ha affermato Vinberg. “Coloro che perseverano nell’attaccare un sistema con protezioni attive dimostrano un maggiore impegno e sofisticazione, utilizzando strumenti che consentono loro di imitare fedelmente il comportamento umano o di investire maggiori sforzi nel mascherare le loro azioni.”
“Ad esempio, abbiamo osservato un attacco che ha simulato 513.000 interazioni univoche da parte di utenti su 516.000 richieste, riciclando caratteristiche identificabili in meno dell’1% dei casi. Con gli attacchi più sofisticati, a volte è richiesta un’analisi manuale per individuare il comportamento dannoso e creare nuove firme di riconoscimento.”
Le sfide per i difensori aumentano
Gli F5 Labs hanno investigato anche sulle fonti (supply chain) delle credenziali compromesse. Un punto allarmante è che sembra che i difensori abbiano una visibilità molto più limitata di quanto inizialmente previsto. Infatti, ben il 75% delle credenziali utilizzate durante gli attacchi non risultavano essere state precedentemente identificate come compromesse.
In aggiunta, i difensori si trovano a dover affrontare minacce all’identità specificamente progettate per eludere le contromisure. Ad esempio, le organizzazioni potrebbero monitorare gli attacchi di credential stuffing osservando un’anomala riduzione del tasso di successo delle richieste di autenticazione. Tuttavia, lo studio ha evidenziato che gli aggressori si sono adattati a questa situazione introducendo gli “account canarini”. Questi account vengono continuamente presi di mira per aumentare artificialmente il tasso di successo complessivo. In un caso specifico, durante una campagna di credential stuffing, lo stesso account canarino è stato acceduto 37 milioni di volte nella stessa settimana per questo preciso scopo.
Relativamente agli attacchi di phishing, un’altra area su cui si è concentrata l’analisi degli F5 Labs, emerge nuovamente una chiara indicazione dell’aumento degli sforzi nell’eludere le difese. In particolare, la crescente adozione dell’autenticazione a più fattori sta alimentando la diffusione del “reverse proxy phishing”, in cui gli aggressori creano pagine di login fasulle per indurre gli utenti a inserire le proprie credenziali.
Inoltre, gli aggressori si avvalgono sempre più di funzionalità di rilevamento-evasione come AntiRed, uno strumento Javascript progettato per superare le tecniche di analisi del phishing basate sul browser, come Google Safe Browsing, che avverte gli utenti con un messaggio di pericolo quando accedono a un sito potenzialmente non sicuro.
Nuove minacce all’orizzonte
In un contesto di ambienti in continua evoluzione, gli F5 Labs hanno individuato l’emergere di una nuova generazione di minacce.
Ad esempio, nell’agosto del 2022 è stato rilevato un annuncio sul Dark Web che promuoveva un sistema di phishing vocale, che utilizzava l’intelligenza artificiale per automatizzare le chiamate di phishing. La crescente sofisticazione e la diminuzione dei costi nell’ambito dell’intelligenza artificiale stanno contribuendo a rendere queste tecniche sempre più diffuse ed efficaci nel tempo.
“In prospettiva, gli identity provider dovrebbero impiegare una soluzione anti-bot per mitigare l’automazione dannosa, ad esempio nel caso del credential stuffing. Anche soluzioni anti-bot semplici possono mitigare la maggior parte degli attacchi di credential stuffing non sofisticati”, ha sottolineato Vinberg.
“Le organizzazioni possono rafforzare ulteriormente le loro difese ricorrendo a soluzioni MFA (Multi-Factor Authentication) basate sulla crittografia, come quelle adottate nei protocolli WebAuthn o FIDO2. In ultima analisi, non esiste una soluzione miracolosa per contrastare gli attacchi basati sull’identità. I difensori devono monitorare e rilevare gli attacchi, quantificare il tasso di errore del loro rilevamento e adattarsi di conseguenza. Più approfondiamo lo studio di tali attacchi e della loro continua evoluzione, meglio saremo in grado di gestire il rischio di vulnerabilità intrinseco a qualsiasi sistema richiedente l’autenticazione dell’utente.”
