Una delle più grandi minacce che devono affrontare sia le grandi che le piccole imprese è il credential stuffing. In questi attacchi, i malintenzionati contano sul riutilizzo delle password su due o più accessi e, una volta trovato un nome utente/password che funziona, cercano di utilizzare tali informazioni per entrare negli altri account. L’azienda statunitense Akamai, nel suo ultimo rapporto sullo stato di Internet, afferma di aver assistito a oltre 193 miliardi di attacchi di credential stuffing nel 2020. Questi attacchi possono costare miliardi di dollari all’anno, se si sommano i costi per rimediare al problema, gestendo tutte le richieste degli utenti reimpostazione della password e modifica di altre operazioni.
L’ufficio del procuratore generale di New York, Letitia James, ha trovato migliaia di post contenenti credenziali di accesso che erano state testate in attacchi di credential stuffing su un sito Web o un’app e ha confermato che fornivano l’accesso a un account cliente. Da questo elenco principale, hanno compilato le credenziali di accesso per 1,1 milioni di account clienti presso 17 aziende note tra cui rivenditori online, catene di ristoranti e servizi di consegna di cibo. Per combattere gli attacchi di credential stuffing, l’ufficio di James ha recentemente pubblicato una guida aziendale.
La guida delinea una serie di passaggi che gli imprenditori possono intraprendere per aumentare la propria sicurezza informatica.
Innanzitutto, rileva e difenditi dagli attacchi di credential stuffing utilizzando una varietà di strumenti. La prima e più importante misura consiste nell’utilizzare l’autenticazione a più fattori (MFA). La guida afferma che il loro ufficio ha trovato un’azienda che aveva tentato di implementare l’AMF ma non l’ha fatto correttamente e, di conseguenza, l’azienda aveva 400.000 account compromessi. Come affermato nella guida aziendale, “Le aziende dovrebbero garantire che la loro implementazione dell’AMF sia accuratamente testata e monitorata per verificarne l’efficacia”.
Un’altra soluzione consiste nel rilevare i blocchi degli account per accessi non riusciti. Questa operazione viene in genere eseguita utilizzando un software di intelligence sulle minacce in grado di rilevare frequenti tentativi di accesso, in particolare da indirizzi IP sconosciuti. Una catena di ristoranti ha riportato nella guida che il suo fornitore di rilevamento bot aveva bloccato oltre 271 milioni di tentativi di accesso in un periodo di 17 mesi. Una risorsa che abbiamo menzionato più volte è quella di utilizzare il database centrale di Troy Hunt delle credenziali dell’account trapelato, Have I Been Pwned?, insieme all’utilizzo di Avast BreachGuard, che ti avvisa se i tuoi dati sono stati coinvolti in una violazione.
Altri suggerimenti includono l’utilizzo delle cosiddette tecnologie senza password che incorporano l’autenticazione a più fattori con le impronte digitali hardware e l’utilizzo di un firewall per applicazioni Web per intercettare l’attività dei bot e monitorare l’accesso dei clienti alle risorse della rete aziendale. Non è consigliabile fare affidamento sui CAPTCHA, poiché questi possono essere facilmente superaie dal software.
Quindi, prevenire le frodi e altri usi impropri delle informazioni sui clienti. La guida del procuratore generale consiglia di esaminare regolarmente i casi di frode e di disporre di un chiaro canale di comunicazione tra il servizio clienti e l’help desk per la sicurezza IT. Alcune di queste frodi possono essere dovute al modo in cui un’azienda struttura il flusso di lavoro dei pagamenti online. Ad esempio, la guida riporta una situazione in cui gli ordini effettuati a un nuovo indirizzo richiederebbero la riautenticazione se il cliente ha pagato utilizzando una carta di credito memorizzata, ma non se il cliente ha utilizzato un credito dello shop. Gli aggressori che hanno ottenuto l’accesso a un account cliente avrebbero inizialmente effettuato un ordine a un indirizzo esistente utilizzando la carta di credito memorizzata del cliente. A questo punto annullerebbero immediatamente l’ordine, otterrebbero un rimborso in store credit, che utilizzerebbero per effettuare un nuovo ordine a un nuovo indirizzo senza completare alcuna nuova autorizzazione. La guida raccomanda alle aziende di riautenticare tutti al momento dell’acquisto (ad esempio inserendo il CVV con una carta di credito in archivio). Altri suggerimenti sono di utilizzare un servizio di rilevamento delle frodi di terze parti e anche di utilizzare programmi di sensibilizzazione al phishing per aiutare a formare gli operatori del servizio clienti su come riconoscere varie tecniche di ingegneria sociale.
Infine, assicurati di poter rispondere rapidamente a un incidente di credential stuffing. Indaga prontamente su tutte le sospette violazioni e agisci rapidamente per rimediare e bloccare gli aggressori e avvisare i tuoi clienti.
Fonte: Avast
Lascia un commento