Cos'è l'attacco di sottrazione e uso illecito delle credenziali? | Attacchi di sottrazione e uso illecito delle credenziali vs attacchi tramite forza bruta

In un attacco di sottrazione e uso illecito delle credenziali, le raccolte di credenziali di accesso rubate da un servizio vengono utilizzate per tentare di accedere agli account su numerosi altri servizi.

Share facebook icon linkedin icon twitter icon email icon
  • Cos'è un bot?
  • Cos'è la gestione dei bot?
  • Cos'è l'attacco di sottrazione e uso illecito delle credenziali?

    Cos'è un attacco di sottrazione e uso illecito delle credenziali?

    La sottrazione e l'uso illecito delle credenziali è un attacco informatico nel quale le credenziali ottenute da una violazione dei dati in un dato servizio vengono utilizzate per tentare di accedere a un altro servizio, non correlato al primo.

    Esempio di sottrazione e uso illecito delle credenziali

    Ad esempio, un aggressore può prendere un elenco di nomi utente e password ottenuti violando l'archivio di un importante grande magazzino, e utilizzare le stesse credenziali di accesso per provare ad accedere al sito di un grosso istituto bancario. L'aggressore spera che una parte di quei clienti dei grandi magazzini abbia anche un account presso quella banca e che abbia utilizzato i medesimi nomi utente e password per entrambi i servizi.

    A partire dal 2019, l'attacco di sottrazione e uso illecito delle credenziali è in aumento grazie alle enormi liste di credenziali violate scambiate e vendute sul mercato nero. La proliferazione di questi elenchi, combinata con i progressi negli strumenti di sottrazione e uso illecito delle credenziali che utilizzano i bot per aggirare le tradizionali protezioni di accesso, hanno reso l'attacco di sottrazione e uso illecito delle credenziali un vettore di attacchi diffuso.

    Cosa rende efficace l'attacco di sottrazione e uso illecito delle credenziali?

    Statisticamente parlando, gli attacchi di sottrazione e uso illecito delle credenziali hanno un tasso di successo molto basso. Secondo molte stime, il tasso si assesta sullo 0,1%, il che significa che per ogni mille account che un aggressore tenta di decifrare, andranno a buon fine approssimativamente solo una volta. Il volume assoluto delle raccolte di credenziali che vengono scambiate dagli aggressori giustifica l'impiego di questo tipo di attacchi, nonostante il basso tasso di successo.

    Queste raccolte contengono milioni, e in alcuni casi miliardi, di credenziali di accesso. Se un aggressore dispone di un milione di serie di credenziali, ciò porta a circa 1.000 account decifrati con successo. Se anche una piccola percentuale di account decifrati fornisce dati utili (spesso sotto forma di numeri di carta di credito o dati sensibili che possono essere utilizzati negli attacchi di phishing), allora l'attacco è proficuo. Inoltre, l'aggressore può ripetere il procedimento utilizzando le stesse serie di credenziali su servizi diversi.

    I progressi nella tecnologia dei bot rendono fattibile anche l'attacco di sottrazione e uso illecito di credenziali. Le funzionalità di sicurezza integrate nei moduli di accesso alle applicazioni web spesso includono ritardi temporali deliberati e il divieto di indirizzi IP di utenti con ripetuti tentativi di accesso non riusciti. Il moderno software di sottrazione e uso illecito delle credenziali elude tali protezioni utilizzando i bot per tentare contemporaneamente diversi accessi che sembrano provenire da una serie di dispositivi, e avere origine da diversi indirizzi IP. L'obiettivo del bot dannoso è rendere i tentativi di accesso dell'aggressore indistinguibili dal tipico traffico di accesso, ed è molto efficace nel farlo.

    Spesso l'unica evidenza che l'azienda oggetto dell'attacco ha dell'attività dannosa è l'aumento del volume complessivo dei tentativi di accesso. Anche in questo caso, l'azienda avrà difficoltà a fermare questi tentativi senza pregiudicare la possibilità per gli utenti legittimi di accedere al servizio.

    Il motivo principale per cui gli attacchi di sottrazione e uso illecito delle credenziali sono efficaci è che le persone riutilizzano le password. Gli studi suggeriscono che la maggior parte degli utenti, secondo alcune stime fino all'85%, riutilizza le stesse credenziali di accesso per più servizi. Finché questa prassi proseguirà, gli attacchi di questo tipo rimarranno fruttuosi.

    Qual è la differenza tra la sottrazione e l'uso illecito di credenziali e gli attacchi di forza bruta?

    OWASP classifica la sottrazione e l'uso illecito delle credenziali come un sottoinsieme di attacchi di forza bruta. A rigor di termini, però, la sottrazione e l'uso illecito di credenziali è molto diverso dai tradizionali attacchi di forza bruta. Gli attacchi di forza bruta tentano di indovinare le password senza contesto o indizi, usando i caratteri casuali a volte combinati con suggerimenti di password comuni. L'attacco di sottrazione e uso illecito delle credenziali utilizza i dati esposti, riducendo drasticamente il numero di possibili risposte corrette.

    Una buona difesa contro gli attacchi di forza bruta è una password complessa composta da più caratteri e che include lettere maiuscole, numeri e caratteri speciali. La sicurezza della password, però, non protegge dall'attacco di sottrazione e uso illecito di credenziali. Non importa quanto sia complessa una password, perché se è condivisa tra account diversi, l'attacco di sottrazione può comprometterla.

    Come impedire l'attacco di sottrazione e uso illecito di credenziali

    Come gli utenti possono impedire gli utenti l'attacco di sottrazione e uso illecito di credenziali

    Dal punto di vista di un utente, difendersi contro questo attacco è piuttosto semplice. Gli utenti devono sempre utilizzare password univoche per ciascun servizio diverso (un modo semplice per ottenere ciò è tramite un gestore di password). Se un utente utilizza sempre password univoche, l'attacco di sottrazione e uso illecito di credenziali non funzionerà con i propri account. Come ulteriore misura di sicurezza, gli utenti vengono incoraggiati ad abilitare sempre l'autenticazione a due fattori se disponibile.

    Come le società possono impedire l'attacco di sottrazione e uso illecito di credenziali

    Fermare gli attacchi di sottrazione e l'uso illecito delle credenziali è una sfida più complessa per le aziende che gestiscono servizi di autenticazione. Questi attacchi, infatti, hanno luogo a seguito di violazioni di dati custoditi presso altre società. Una società vittima di un attacco di sottrazione e uso illecito delle credenziali non ha necessariamente subito una compromissione della sua sicurezza.

    Una azienda può suggerire ai propri utenti di fornire password univoche, ma non può certo imporlo come regola generale. Alcune applicazioni metteranno la password proposta a confronto con un database di password compromesse prima di accettarla, ma anche questa tecnica non è sicura al cento per cento: l'utente potrebbe riutilizzare una password di un servizio che non è stato ancora violato.

    La fornitura di funzionalità di sicurezza di accesso aggiuntive può aiutare a mitigare questo genere di attacchi. L'abilitazione di funzionalità quali l'autenticazione a due fattori, o richiedere agli utenti di compilare dei captcha quando effettuano l'accesso contribuiscono a bloccare i bot dannosi. Sebbene ambo le funzionalità possono arrecare un po' di fastidio all'utenza, molti concordano sul fatto che la riduzione della minaccia alla sicurezza compensi ampiamente la molestia subita.

    La protezione più solida contro l'attacco di sottrazione e uso illecito delle credenziali è costituita da un servizio di gestione dei bot. La gestione dei bot utilizza il rate limiting insieme a una base dati di reputazione IP per impedire ai bot dannosi di effettuare tentativi di accesso senza influire sugli accessi legittimi. La Gestione dei bot di Cloudflare, che raccoglie i dati di 425 miliardi di richieste indirizzate ogni giorno nella rete Cloudflare, è in grado di identificare e bloccare i bot per la sottrazione e l'uso illecito delle credenziali con una precisione molto elevata.

  • Cos'è lo scraping dei contenuti?
  • Glossario

Sottrazione e uso illecito delle credenziali

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire l'attacco di sottrazione e l'uso illecito delle credenziali
  • Distinguere tra attacchi di sottrazione e uso illecito delle credenziali e attacchi tramite forza bruta
  • Comprendere le strategie per mitigare la sottrazione e l'uso illecito delle credenziali

Cos'è un attacco di sottrazione e uso illecito delle credenziali?

La sottrazione e l'uso illecito delle credenziali è un attacco informatico nel quale le credenziali ottenute da una violazione dei dati in un dato servizio vengono utilizzate per tentare di accedere a un altro servizio, non correlato al primo.

Esempio di sottrazione e uso illecito delle credenziali

Ad esempio, un aggressore può prendere un elenco di nomi utente e password ottenuti violando l'archivio di un importante grande magazzino, e utilizzare le stesse credenziali di accesso per provare ad accedere al sito di un grosso istituto bancario. L'aggressore spera che una parte di quei clienti dei grandi magazzini abbia anche un account presso quella banca e che abbia utilizzato i medesimi nomi utente e password per entrambi i servizi.

A partire dal 2019, l'attacco di sottrazione e uso illecito delle credenziali è in aumento grazie alle enormi liste di credenziali violate scambiate e vendute sul mercato nero. La proliferazione di questi elenchi, combinata con i progressi negli strumenti di sottrazione e uso illecito delle credenziali che utilizzano i bot per aggirare le tradizionali protezioni di accesso, hanno reso l'attacco di sottrazione e uso illecito delle credenziali un vettore di attacchi diffuso.

Cosa rende efficace l'attacco di sottrazione e uso illecito delle credenziali?

Statisticamente parlando, gli attacchi di sottrazione e uso illecito delle credenziali hanno un tasso di successo molto basso. Secondo molte stime, il tasso si assesta sullo 0,1%, il che significa che per ogni mille account che un aggressore tenta di decifrare, andranno a buon fine approssimativamente solo una volta. Il volume assoluto delle raccolte di credenziali che vengono scambiate dagli aggressori giustifica l'impiego di questo tipo di attacchi, nonostante il basso tasso di successo.

Queste raccolte contengono milioni, e in alcuni casi miliardi, di credenziali di accesso. Se un aggressore dispone di un milione di serie di credenziali, ciò porta a circa 1.000 account decifrati con successo. Se anche una piccola percentuale di account decifrati fornisce dati utili (spesso sotto forma di numeri di carta di credito o dati sensibili che possono essere utilizzati negli attacchi di phishing), allora l'attacco è proficuo. Inoltre, l'aggressore può ripetere il procedimento utilizzando le stesse serie di credenziali su servizi diversi.

I progressi nella tecnologia dei bot rendono fattibile anche l'attacco di sottrazione e uso illecito di credenziali. Le funzionalità di sicurezza integrate nei moduli di accesso alle applicazioni web spesso includono ritardi temporali deliberati e il divieto di indirizzi IP di utenti con ripetuti tentativi di accesso non riusciti. Il moderno software di sottrazione e uso illecito delle credenziali elude tali protezioni utilizzando i bot per tentare contemporaneamente diversi accessi che sembrano provenire da una serie di dispositivi, e avere origine da diversi indirizzi IP. L'obiettivo del bot dannoso è rendere i tentativi di accesso dell'aggressore indistinguibili dal tipico traffico di accesso, ed è molto efficace nel farlo.

Spesso l'unica evidenza che l'azienda oggetto dell'attacco ha dell'attività dannosa è l'aumento del volume complessivo dei tentativi di accesso. Anche in questo caso, l'azienda avrà difficoltà a fermare questi tentativi senza pregiudicare la possibilità per gli utenti legittimi di accedere al servizio.

Il motivo principale per cui gli attacchi di sottrazione e uso illecito delle credenziali sono efficaci è che le persone riutilizzano le password. Gli studi suggeriscono che la maggior parte degli utenti, secondo alcune stime fino all'85%, riutilizza le stesse credenziali di accesso per più servizi. Finché questa prassi proseguirà, gli attacchi di questo tipo rimarranno fruttuosi.

Qual è la differenza tra la sottrazione e l'uso illecito di credenziali e gli attacchi di forza bruta?

OWASP classifica la sottrazione e l'uso illecito delle credenziali come un sottoinsieme di attacchi di forza bruta. A rigor di termini, però, la sottrazione e l'uso illecito di credenziali è molto diverso dai tradizionali attacchi di forza bruta. Gli attacchi di forza bruta tentano di indovinare le password senza contesto o indizi, usando i caratteri casuali a volte combinati con suggerimenti di password comuni. L'attacco di sottrazione e uso illecito delle credenziali utilizza i dati esposti, riducendo drasticamente il numero di possibili risposte corrette.

Una buona difesa contro gli attacchi di forza bruta è una password complessa composta da più caratteri e che include lettere maiuscole, numeri e caratteri speciali. La sicurezza della password, però, non protegge dall'attacco di sottrazione e uso illecito di credenziali. Non importa quanto sia complessa una password, perché se è condivisa tra account diversi, l'attacco di sottrazione può comprometterla.

Come impedire l'attacco di sottrazione e uso illecito di credenziali

Come gli utenti possono impedire gli utenti l'attacco di sottrazione e uso illecito di credenziali

Dal punto di vista di un utente, difendersi contro questo attacco è piuttosto semplice. Gli utenti devono sempre utilizzare password univoche per ciascun servizio diverso (un modo semplice per ottenere ciò è tramite un gestore di password). Se un utente utilizza sempre password univoche, l'attacco di sottrazione e uso illecito di credenziali non funzionerà con i propri account. Come ulteriore misura di sicurezza, gli utenti vengono incoraggiati ad abilitare sempre l'autenticazione a due fattori se disponibile.

Come le società possono impedire l'attacco di sottrazione e uso illecito di credenziali

Fermare gli attacchi di sottrazione e l'uso illecito delle credenziali è una sfida più complessa per le aziende che gestiscono servizi di autenticazione. Questi attacchi, infatti, hanno luogo a seguito di violazioni di dati custoditi presso altre società. Una società vittima di un attacco di sottrazione e uso illecito delle credenziali non ha necessariamente subito una compromissione della sua sicurezza.

Una azienda può suggerire ai propri utenti di fornire password univoche, ma non può certo imporlo come regola generale. Alcune applicazioni metteranno la password proposta a confronto con un database di password compromesse prima di accettarla, ma anche questa tecnica non è sicura al cento per cento: l'utente potrebbe riutilizzare una password di un servizio che non è stato ancora violato.

La fornitura di funzionalità di sicurezza di accesso aggiuntive può aiutare a mitigare questo genere di attacchi. L'abilitazione di funzionalità quali l'autenticazione a due fattori, o richiedere agli utenti di compilare dei captcha quando effettuano l'accesso contribuiscono a bloccare i bot dannosi. Sebbene ambo le funzionalità possono arrecare un po' di fastidio all'utenza, molti concordano sul fatto che la riduzione della minaccia alla sicurezza compensi ampiamente la molestia subita.

La protezione più solida contro l'attacco di sottrazione e uso illecito delle credenziali è costituita da un servizio di gestione dei bot. La gestione dei bot utilizza il rate limiting insieme a una base dati di reputazione IP per impedire ai bot dannosi di effettuare tentativi di accesso senza influire sugli accessi legittimi. La Gestione dei bot di Cloudflare, che raccoglie i dati di 425 miliardi di richieste indirizzate ogni giorno nella rete Cloudflare, è in grado di identificare e bloccare i bot per la sottrazione e l'uso illecito delle credenziali con una precisione molto elevata.