Furto delle credenziali: il numero degli incidenti raddoppia

Leonardo Pignalosa

Secondo quanto rilevato dalla nuova edizione del Credential Stuffing Report di F5:
_ Il numero di incidenti annuali legati alla sottrazione delle credenziali è quasi raddoppiato nel periodo che va dal 2016 al 2020
_ La dimensione media delle sottrazioni avvenute nel 2020 (2 milioni di record) segna un aumento del 234% rispetto al 2019
_ Negli ultimi tre anni, il 42,6% delle credenziali sottratte non aveva alcuna protezione e le password erano memorizzate in chiaro
_ Il tempo medio in cui vengono rivelati gli incidenti è di 120 giorni. L’annuncio della sottrazione dei dati coincide tipicamente con la comparsa delle credenziali sui forum del Dark Web.
Il report evidenzia una flessione del 46% nel volume delle credenziali sottratte nell’arco dei quattro anni, e anche una diminuzione delle dimensioni medie della sottrazione, dai 63 milioni di record del 2016 a 17 milioni nel 2020.Nonostante tutto la dimensione media delle sottrazioni avvenute nel 2020 (con 2 milioni di record) è aumentata del 234% rispetto al 2019.Le tecniche di credential stuffing, che comportano lo sfruttamento di grandi volumi di coppie di username e/o email e password, sono un crescente problema a livello globale. L’FBI ha rilasciato un alert l’anno scorso indirizzato al settore privato, in cui avvertiva della minaccia di crescita relativa agli incidenti di sicurezza nel settore finanziario statunitense, che tra il 20017 ed il 2020 è cresciuto del 41%.
Sara Boddy, Senior Director degli F5 Labs, ha dichiarato: “Gli hacker hanno raccolto per anni miliardi di credenziali. La sottrazione di credenziali è come una fuoriuscita di petrolio: una volta iniziata è molto difficile arginarla perché le credenziali molto spesso non vengono cambiate dall’utente medio, e le soluzioni di credential stuffing devono ancora essere ampiamente adottate dalle aziende. Non sorprende quindi aver rivelato anche un cambiamento nella classifica dei principali attacchi, che vede oggi proprio il credential stuffing sorpassare l’HTTP. Si tratta di tipologie di attacco che hanno un impatto a lungo termine sulla sicurezza delle applicazioni e la situazione non cambierà presto. Se siete preoccupati di poter subire una violazione in futuro, è molto probabile che si tratterà di un attacco di credential stuffing.”Sander Vinberg, Threat Research Evangelist di F5 Labs, e co-autore del report, ha invece commentato: “È interessante notare come il volume complessivo e le dimensioni delle sottrazioni delle credenziali siano diminuiti nel 2020, ma non possiamo assolutamente festeggiare per adesso, perché gli attacchi che prendono di mira gli accessi – e tra questi il credential stuffing e il phishing – sono ora la causa principale delle violazioni. È altamente improbabile che i team di sicurezza stiano vincendo la battaglia in corso contro la sottrazione di dati e le frodi, a mio avviso stiamo assistendo solo a una stabilizzazione di un mercato precedentemente caotico che ora si avvia verso il raggiungimento della maturità.”Il report ha evidenziato come la mancanza di cura e conservazione delle password continui a rappresentare una criticità.Negli ultimi tre anni, il 42,6% delle credenziali sottratte non aveva alcuna protezione e le password erano memorizzate in chiaro, mentre un ulteriore 20% delle credenziali sottratte sfruttavano l’algoritmo di hashing delle password SHA-1 senza salt, quindi erano prive di un valore unico che può essere aggiunto alla fine della password per creare un valore di hash diverso.Una terza tipologia riguardava l’algoritmo con salt bcrypt con il 16,7% delle sottrazioni.Il report ha anche mostrato che gli hacker utilizzano sempre più tecniche di “fuzzing” per ottimizzare le possibilità di raggiungere il successo.Il fuzzing è un processo che permette di trovare vulnerabilità di sicurezza nel codice di input-parsing testando ripetutamente il parser con input modificati.Nell’edizione 2018 il report mostrava come fossero necessari 15 mesi prima che la notizia di perdita di credenziali diventasse di dominio pubblico, ma negli ultimi 3 anni il tempo medio è diminuito ed è sceso ad 11 mesi. Il tempo medio in cui vengono rivelati gli incidenti è di 120 giorni e l’annuncio della sottrazione dei dati coincide tipicamente con la comparsa delle credenziali sui forum del Dark Web, prima che le organizzazioni si accorgano di aver subito la violazione.Ad essere oggetto del report sono stati quattro clienti Fortune 500: due banche, un rivenditore ed una società di alimenti e bevande.Nel corso di 12 mesi, sono state utilizzate 2,9 miliardi di credenziali diverse. Quasi 900 milioni di credenziali erano compromesse. Le credenziali rubate sono apparse più frequentemente nel contesto di transazioni umane legittime presso le due banche (35% e 25% delle istanze, rispettivamente). Il 10% degli attacchi ha preso di mira il rivenditore, e circa il 5% si è concentrato sull’azienda alimentare e delle bevande.In base a quanto rilevato, F5 ha identificato cinque fasi distinte di abuso di credenziali: 1) Slow & Quiet: le credenziali compromesse sono state utilizzate in modo furtivo fino al mese prima della pubblicazione. In media, ogni credenziale è stata usata 15-20 volte al giorno negli attacchi contro i quattro clienti.2) Impennata: nei 30 giorni che precedono l’annuncio pubblico, F5 ha scoperto che le credenziali circolavano sul Dark Web. Altri hacker hanno guadagnato l’accesso alle credenziali, ed è per questo che da allora il numero di attacchi al giorno è aumentato costantemente.3) Blitz: quando le credenziali sono diventate di dominio pubblico, gli “script kiddies” e altri dilettanti hanno iniziato a usarle sulle piattaforme più importanti. La prima settimana è stata particolarmente attiva, con ogni account attaccato in media oltre 130 volte al giorno.4) Calo/nuovo equilibrio: dopo il primo mese, F5 ha identificato un nuovo equilibrio con circa 28 attacchi per username al giorno. È interessante notare che il dato è comunque superiore allo status quo originale di 15 attacchi durante la fase “Slow & Quiet” ed è dovuto da alcuni hacker alle prime armi che prendono ancora di mira aziende di alto valore con credenziali datate.5) Reincarnazione: Dopo aver condotto attacchi di credential stuffing su una varietà di piattaforme e siti, un sottoinsieme di criminali ha iniziato a riconfezionare le credenziali valide per estendere la loro vita in modo da poterle sfruttare per nuovi tipi di attacco.Sara Boddy ha concluso dicendo: “Il credential stuffing sarà una minaccia ancora per lungo tempo, fino a quando richiederemo agli utenti di accedere agli account online. Gli hacker modificano costantemente i propri attacchi in modo da adattarli alle tecniche di protezione dalle frodi e questo sta generando grande richiesta e necessità di promuovere controlli adattivi, basati sull’AI, relativi al credential stuffing e alle frodi. È impossibile rilevare in modo istantaneo il 100% degli attacchi, quello che bisogna fare è rendere gli attacchi così costosi che i truffatori rinuncino. Se c’è una cosa che vale per il mondo dei criminali informatici e degli uomini d’affari, infatti, è che il tempo è denaro.”