Il ritorno economico di un attacco e il fascino del credential stuffing

redazione

Tutte le aziende sono guidate dall’analisi costi-benefici, un principio che vale anche per i truffatori online, sempre fortemente motivati dal guadagno. Per operare in modo redditizio hanno bisogno di escogitare sistemi che li portino a ottenere più denaro di quanto ne spendano per condurre i propri attacchi.

Ci sono due fattori chiave che influenzano questo conteggio: il costo delle operazioni e i cambiamenti nel panorama della sicurezza. Da entrambi i punti di vista i costi stanno diminuendo rapidamente, il che significa che oggi gli hacker, investendo solo qualche centinaio di euro, possono lanciare attacchi che potenzialmente li porteranno a guadagnarne milioni. 

Una delle conseguenze di questa analisi economica è il forte incremento del credential stuffing, un metodo sempre più popolare e diffuso nelle frodi online, come conferma una recente ricerca condotta dagli F5 Labs e Shape Security che attesta che gli incidenti di sottrazione delle credenziali sono quasi raddoppiati dal 2016 al 2020.

Il credential stuffing implica che gli hacker comprino da fonti di facile accesso username e password a prezzi bassissimi (e che a volte addirittura li ottengano gratuitamente) e attraverso un software, personalizzato o standard, automatizzino il processo di accesso a milioni di account su centinaia di siti Web. Lo fanno sperando che, ad esempio, la password di Facebook di qualcuno sia utilizzata anche per il login al conto in banca o per l’account del provider dei servizi Internet. Il traffico viene poi distribuito a livello globale per evitare sospetti e, facendo un ulteriore piccolo investimento, gli hacker possono anche sconfiggere le difese automatiche di base come il test CAPTCHA (Completely Automated Public Turing) esternalizzando a plug-in o servizi che risolvono i CAPTCHA.

Shape Security ha stimato che il costo per acquistare 100.000 tentativi di acquisizione dell’account ammonti a circa 200 dollari, e includa anche il software necessario, i proxy di rete e le credenziali rubate. Le percentuali di successo variano in genere dallo 0,2 al 2%. I dati acquisiti con successo vengono poi venduti su vari forum e marketplace per un valore compreso tra 2 e 150 dollari, che corrisponde a un rendimento compreso tra il 100 e il 150.000% o anche di più, con un ritorno finanziario tra i 200 e i 300.000 dollari.

Sfortunatamente, molte organizzazioni si focalizzano sulla difesa dagli attacchi dei bot utilizzando solo l’indirizzo IP o il blocco delle stringhe User-Agent, che si trasforma rapidamente in un gioco inutile e ansioso di “acchiappa la talpa”, quando in realtà l’enfasi dovrebbe essere posta su come eliminare il valore economico per gli aggressori rendendo poco vantaggioso acquisire le proprietà digitali di altri.

Come rendere il costo delle frodi online fuori mercato

Per le aziende, un punto cruciale per mitigare le frodi è migliorare le proprie difese al punto che per gli hacker diventi troppo costoso superarle. 
Nel mondo reale, un criminale approfitterà sempre di una finestra aperta piuttosto che comperarsi strumenti costosi per scassinare la serratura di una porta blindata. Una regola che, adattata, vale anche per le proprietà digitali.

Il metodo migliore è implementare una serie di misure di sicurezza che costringano i truffatori a tornare sui propri passi, ripensare le fasi del loro attacco e i costi che comportano. Se questo accade troppe volte, l’analisi costi-benefici sfugge dalle loro mani e alla fine la spesa arriva a superare qualsiasi potenziale ritorno. 

Nel 2013 David Bianco ha introdotto un concetto che ha denominato “Pyramid of Pain”, ancora valido ai giorni nostri, soprattutto quando si tratta di mitigare con efficacia e a lungo termine gli attacchi di credential stuffing. In poche parole, impegnarsi in una caccia continua con indirizzi IP e stringhe User-Agent (che si trovano all’ultimo gradino della piramide) è inutile. È meglio concentrare i propri sforzi più in alto, verso il vertice della piramide dove troviamo gli strumenti e le TTP (tattiche, tecniche e procedure) dei truffatori. In altre parole, prendere di mira continuamente i propri avversari per costringerli a guardare altrove.

Per riuscire a farlo, è necessario capire quale sia il costo effettivo che dovrebbero sostenere per attaccare le tue proprietà web e mobile perché se non si conosce questo costo non è nemmeno possibile sapere quali resistenze e blocchi si debba mettere in atto. Una volta risolto questo punto, conviene avviare un piano in tre fasi.

Partire, innanzitutto, dall’analisi dei propri punti deboli, controllando l’esposizione della rete per eliminare tutto quello che può essere raggiunto facilmente. Questo crea una prima barriera minima che gli aggressori devono superare. È utile, ad esempio, analizzare le pagine di autenticazione delle applicazioni web per essere certi di non fornire feedback non necessari che potrebbero avvantaggiare i truffatori. Un caso comune riguarda le pagine per reimpostare le password. Scrivere una cosa del tipo: “Mi dispiace, l’account non esiste, riprova più tardi” può fornire ai truffatori un indizio su quali account sono validi su un particolare sito e quali no, migliorando così l’accuratezza e l’efficienza di eventuali attacchi di credential stuffing successivi. Un messaggio di risposta migliore potrebbe essere: “Abbiamo ricevuto la tua richiesta di reimpostare la password. Se questo account esiste, ti verrà inviata un’e-mail all’indirizzo indicato per reimpostarla“.

Un secondo aspetto importante è quello di eseguire con regolarità test di penetrazione sulle app Web e mobile della propria organizzazione, per capire quanto sia facile comprometterle al fine di una frode. Questo processo dovrebbe essere guidato da prove concrete senza perdersi in suppositori o sensazioni, solo in questo modo infatti sarà possibile poi adottare strumenti di difesa adeguati, che rispecchino i tentativi più probabili di abbattere le misure di sicurezza di quella particolare organizzazione.

Bisogna ricordare, infine, che nel campo da gioco della sicurezza i pali delle porte vengono continuamente spostati, perché gli strumenti a disposizione dei criminali migliorano ogni giorno e quindi il terzo passaggio fondamentale sarà aggiornare costantemente e regolarmente i propri strumenti di controllo della security per stare al passo con un panorama dei rischi in continua evoluzione. Un approccio corretto può includere il contributo di analisti di sicurezza (interni all’azienda o collaboratori esterni) che indaghino in profondità su quali siano i più recenti veicoli di attacco e una volta “indossato il cappello dell’hacker” si informino sui tool più in voga sul dark web e nei forum dedicati alle frodi. I bug bounty, infine, possono rappresentare un’altra soluzione utile per identificare falle o nuovi modi per aggirare i controlli esistenti prima che i truffatori possano individuarli e abusarne.

Il credential stuffing, purtroppo, è e resterà per molto tempo uno stratagemma economico e facile da sfruttare, che garantisce un forte ritorno economico ai truffatori permettendo al cybercrime di intascare milioni di euro ogni anno: l’unico modo per contrastarlo sarà renderlo ogni giorno un po’ meno facile.

di Paolo Arcagni, ‎Sr. Manager, Solutions Engineering – Italy & Iberia di F5