Il numero di incidenti annuali legati alla sottrazione delle credenziali è quasi raddoppiato nel periodo che va dal 2016 al 2020, secondo quanto rivelato nell’ultima edizione del Credential Stuffing Report di F5 Networks. Il report evidenzia una flessione del 46% nel volume delle credenziali sottratte nell’arco dei quattro anni e anche una diminuzione delle dimensioni medie della sottrazione, dai 63 milioni di record del 2016 a 17 milioni nel 2020. Nel frattempo, però, la dimensione media delle sottrazioni avvenute nel 2020 (2 milioni di record) segna un aumento del 234% rispetto al 2019, ed è stata la più alta dal 2016 (2,75 milioni).

Le tecniche di credential stuffing, che comportano lo sfruttamento di grandi volumi di coppie di username e/o email e password compromesse, è un problema crescente a livello globale, tanto che lo scorso anno un alert rilasciato dall’FBI e indirizzato al settore privato avvertiva della minaccia di un volume crescente di incidenti di sicurezza nel settore finanziario statunitense, cresciuto del 41% tra il 2017 e il 2020.

Scarsa memorizzazione delle password e crescente sofisticazione degli attacchi

Nonostante un crescente consenso sulla necessità di adottare pratiche sicure, un aspetto fortemente evidenziato dal report è come la mancanza di cura e conservazione delle password continui a rappresentare una criticità. Anche se la maggior parte delle organizzazioni non rivela i propri algoritmi di hashing delle password, F5 è riuscita a studiare 90 incidenti specifici per ipotizzare quali possano essere stati i colpevoli della sottrazione delle credenziali.

Negli ultimi tre anni, il 42,6% delle credenziali sottratte non aveva alcuna protezione e le password erano memorizzate in chiaro. Un ulteriore 20% delle credenziali sottratte sfruttavano l’algoritmo di hashing delle password SHA-1 senza salt, ovvero erano prive di un valore unico che può essere aggiunto alla fine della password per creare un valore di hash diverso. Una terza tipologia riguardava l’algoritmo con salt bcrypt con il 16,7% delle sottrazioni. Sorprendentemente, l’ampiamente screditato algoritmo di hashing, MD5, è stato identificato solo in una piccola percentuale di credenziali sottratte anche quando gli hash erano con salt (0,4%). MD5 è stato considerato debole e poco pratico per decenni, con o senza salt.

Un’altra osservazione degna di nota in questa edizione del report è che gli hacker utilizzano sempre più tecniche di fuzzing per ottimizzare le possibilità di raggiungere il successo. Il fuzzing è il processo che permette di trovare vulnerabilità di sicurezza nel codice di input-parsing testando ripetutamente il parser con input modificati. F5 ha scoperto che la maggior parte degli attacchi di fuzzing si sono verificati proprio prima del rilascio pubblico delle credenziali compromesse, il che suggerisce che la pratica sia più che comune nel caso di attacchi sofisticati.

Rilevamento della sottrazione dei dati

L’edizione del 2018 del Credential Stuffing Report evidenziava come ci volessero in media 15 mesi prima che la notizia di una perdita di credenziali diventasse di dominio pubblico. Questo dato è migliorato negli ultimi tre anni e il tempo medio per rilevare gli incidenti, con la data esatta dell’attacco e della scoperta, ora è di circa undici mesi. Tuttavia, questo dato è distorto da un piccolo numero di incidenti con delle tempistiche di rilevamento dilatate fino a tre anni o più. Il tempo medio in cui vengono rivelati gli incidenti è di 120 giorni. È importante notare che la fuga di dati viene spesso vista prima sul dark web che dalle organizzazioni che hanno subito la violazione.

password

Infatti, l’annuncio della sottrazione dei dati coincide tipicamente con la comparsa delle credenziali sui forum del Dark Web. Nell’edizione di quest’anno del report, F5 ha analizzato specificamente il periodo cruciale che intercorre tra il furto di credenziali e la loro pubblicazione sul Dark Web. I ricercatori hanno condotto un’analisi storica utilizzando un campione di quasi nove miliardi di credenziali ottenute durante migliaia di violazioni di dati diversi, denominato “Collection X”. Le credenziali sono state pubblicate sui forum del Dark Web all’inizio di gennaio 2019.

F5 ha confrontato le credenziali di Collection X con i nomi utente utilizzati negli attacchi di credential stuffing contro un gruppo di clienti a partire da sei mesi prima e dopo la data in cui la sottrazione delle credenziali è diventata di dominio pubblico. Sono stati studiati quattro clienti Fortune 500: due banche, un rivenditore e una società di alimenti e bevande, per un totale di 72 miliardi di transazioni di login in 21 mesi. Utilizzando la tecnologia Shape Security, i ricercatori sono stati in grado di “tracciare” le credenziali rubate dal momento del furto, alla vendita e al riutilizzo.

Nel corso di 12 mesi, sono state utilizzate 2,9 miliardi di credenziali diverse, sia nelle transazioni legittime che negli attacchi diretti ai siti web delle quattro aziende. Quasi un terzo (900 milioni) delle credenziali erano compromesse. Le credenziali rubate sono apparse più frequentemente nel contesto di transazioni umane legittime presso le due banche (35% e 25% delle istanze, rispettivamente). Il 10% degli attacchi ha preso di mira il rivenditore, e circa il 5% si è concentrato sull’azienda alimentare e delle bevande.

Le cinque fasi nell’abuso delle credenziali

In base a quanto rilevato, F5 ha identificato cinque fasi distinte di abuso di credenziali:

  • Slow & Quiet: le credenziali compromesse sono state utilizzate in modo furtivo fino al mese prima della pubblicazione. In media, ogni credenziale è stata usata 15-20 volte al giorno negli attacchi contro i quattro clienti.
  • Impennata: nei 30 giorni che precedono l’annuncio pubblico, F5 ha scoperto che le credenziali circolavano sul Dark Web. Altri hacker hanno guadagnato l’accesso alle credenziali, ed è per questo che da allora il numero di attacchi al giorno è aumentato costantemente.
  • Blitz: quando le credenziali sono diventate di dominio pubblico, gli “script kiddies” e altri dilettanti hanno iniziato a usarle sulle piattaforme più importanti. La prima settimana è stata particolarmente attiva, con ogni account attaccato in media oltre 130 volte al giorno.
  • Calo/nuovo equilibrio: dopo il primo mese, F5 ha identificato un nuovo equilibrio con circa 28 attacchi per username al giorno. È interessante notare che il dato è comunque superiore allo status quo originale di 15 attacchi durante la fase “Slow & Quiet” ed è dovuto alcuni hacker alle prime armi che prendono ancora di mira aziende di alto valore con credenziali datate.
  • Reincarnazione: dopo aver condotto attacchi di credential stuffing su una varietà di piattaforme e siti, un sottoinsieme di criminali ha iniziato a riconfezionare le credenziali valide per estendere la loro vita in modo da poterle sfruttare per nuovi tipi di attacco.

Minimizzare l’impatto della minaccia

“Il credential stuffing sarà una minaccia ancora per lungo tempo, fino a quando richiederemo agli utenti di accedere agli account online” conclude Sara Boddy, Senior Director degli F5 Labs. “Gli hacker modificano costantemente i propri attacchi in modo da adattarli alle tecniche di protezione dalle frodi e questo sta generando grande richiesta e necessità di promuovere controlli adattivi, basati sull’AI, relativi al credential stuffing e alle frodi. È impossibile rilevare in modo istantaneo il 100% degli attacchi, quello che bisogna fare è rendere gli attacchi così costosi che i truffatori rinuncino. Se c’è una cosa che vale per il mondo dei criminali informatici e degli uomini d’affari, infatti, è che il tempo è denaro”.