Nel Novembre 2019 oltre 2000 utenti di NordVPN, un servizio che offre una Virtual Private Network, hanno visto compromettere i propri account. E' stato, questo, un classico caso di "credential stuffing", un tipo di cyber attacco che sfrutta la fallibilità umana riguardante le password per rubare account. 

Un attacco di Credential Stuffing può sembrare molto simile ad un data breach o a un attacco di brute-forcing: in realtà presenta alcune differenze da tenere in considerazione. Nel caso di un data breach tra i dati rubati figurano anche nomi utente e password: tali dati sono utili ad un attaccante per rivenderli sul dark web e guadagnare così somme di denaro che possono anche essere ingenti. Gli attaccanti ottengono tali credenziali da fonti diverse e si avvantaggiano del fatto che la maggior parte degli utenti non cambia username e password su siti differenti: la maggior parte delle persone infatti utilizza le stesse credenziali per la gran parte degli account attivati.

Negli ultimi anni gli attaccanti hanno iniziato ad usare software che automatizzano l'attacco di credential stuffing, per accedere a diversi siti e servizi sfruttando proprio credenziali rubate o deboli (quindi ricorrenti e facilmente indovinabili). Il tasso di successo di questo tipo di attacchi è molto basso, stando ai dati (tra 0.1 e 0.2%), ma quando un attaccante riesce ad avere accesso a 1 miliardo di credenziali allora lo 0.1% si concretizza in circa 1.000 account. 

Il resto è tanto facile quanto spaventoso da indovinare: una volta dentro un account, gli attaccanti possono usarli per effettuare transazioni non autorizzate, inviare malware e altri account, impersonare qualcuno ecc... 

Tutti questi vantaggi sono alla base del rinnovato successo di questo tipo di attacchi, ma anche del suo diffondersi: grandi nomi come Nest, Uber, Superdrug ecc.. hanno dovuto affrontare le conseguenze di questa tipologia di attacco. 

Impedire o prevenire un attacco di credential stuffing non è impossibile, anzi basta seguire una delle più vecchie strategie di cyber sicurezza: usare password solide. Le aziende più esposte ad un attacco di questo tipo devono necessariamente ribadire l'importanza di mantenere una password solida sia ai propri dipendenti sia lungo l'intero indotto. 

I dipendenti spesso preferiscono ricordarsi una sola password solida e usare quella su più account. Questa idea è profondamente sbagliata, come dimostrano gli attacchi di credential stuffing: se un attaccante scopre le credenziali di un utente su un sito web, immediatamente proverà a inserire anche in altri account o servizi dello stesso utente. Con una sola coppia di credenziali potrebbe avere accesso a decine di account o siti web. 

L'autenticazione a più fattori è una delle migliori difese contro questa tipologia di attacco. Fornisce all'utente un livello di protezione aggiuntivo e obbliga gli utenti a inserire ogni volta una convalida obbligatoria dell'accesso: un ottimo sistema per ridurre la dipendenza da password. Sebbene possa essere un pò complesso per un'azienda implementare meccanismi di autenticazione a più fattori, ne consigliamo l'adozione nel maggior numero possibile di luoghi. 

La sicurezza è un'abitudine, più che un processo. Le aziende devono assicurarsi di creare una vera e propria mentalità e abitudine alla sicurezza informatica, formando a dovere i dipendenti già dal momento dell'assunzione del dipendente e continuamente durante il ciclo lavorativo della persona. 

I team di sicurezza IT dovrebbero analizzare costantemente i dati e identificare le fonti delle minacce. E' buona norma inserire in blacklist quegli indirizzi IP sospetti che continuano ad apparire regolarmente: una piccola accortezza che riduce ampiamente le possibilità di subire un attacco informatico. 

Seqrite Endpoint Security (EPS) aiuta le aziende a prevenire attacchi di credential stuffing e altri pericolosi cyber attacchi grazie alle soluzioni di sicurezza di alto livello e all'integrazione di tecnologie avanzate come Anti Ransomware, DnaScan Avanzato e Sistema di Individuazione Comportamentale.