Back to blog

Follow and Subscribe

Attacchi di credential stuffing contro attacchi di forza bruta: qual è la differenza?

Natalie Griffeth

Responsabile senior del marketing dei contenuti

Sicurezza

Gli attacchi di credential stuffing una categoria di attacchi informatici in cui nomi utente e password rubati vengono utilizzati per ottenere l'accesso non autorizzato a siti web,  sono una SOTTOCATEGORIA degli attacchi di forza bruta. Gli attacchi di forza bruta sono una classificazione di attacchi che mirano a sfruttare le vulnerabilità sistemiche per ottenere vantaggi finanziari, informativi e strategici, con un contesto minimo o nullo. 

Il credential stuffing utilizza dati esposti nei suoi sforzi, mentre la forza bruta utilizza password comuni e tentativi casuali di exploit: la forza bruta è più simile a un approccio martellante, mentre il credential stuffing è più chirurgico (di natura mirata e strategica). 

Credential Stuffing

Che cosa sono gli attacchi di credential stuffing?

Il credential stuffing è un tipo di attacco informatico in cui nomi utente e password rubati vengono utilizzati per ottenere l'accesso non autorizzato a più siti web, sfruttando la pratica comune del riutilizzo delle password per compiere attività fraudolente. Pensa alle tue password: molto probabilmente ne hai poche o addirittura una sola con lievi variazioni; questo è esattamente il motivo per cui gli attacchi di credential stuffing hanno successo. 

Come funziona il credential stuffing?

Per eseguire un attacco informatico di credential stuffing, gli hacker utilizzano credenziali di accesso rubate per tentare di accedere a diversi siti, impiegando strumenti come botnet e rotazione IP per evitare il rilevamento. Una volta effettuati l'accesso, gli hacker possono avviare un'operazione di acquisizione dell'account, trasformando una singola credenziale rubata in una minaccia molto più grave.

Ecco come si presenta un attacco di credential stuffing: 

  • Aggregazione iniziale dei dati: gli hacker raccolgono elenchi di nomi utente e password rubati durante violazioni dei dati o li acquistano da siti criminali sul dark web. Gli elenchi di password rubate possono contenere centinaia di milioni di nomi utente e password e sono spesso disponibili per i malintenzionati a un prezzo relativamente basso.

  • Infrastruttura di convalida delle credenziali: in questa fase, i criminali informatici utilizzano speciali programmi informatici chiamati bot per tentare di accedere contemporaneamente a numerosi siti web. Questi programmi automatizzati sono in grado di testare migliaia di password al minuto. Per rendere gli attacchi più efficaci, i truffatori possono istruire più computer compromessi a collaborare in una botnet.

  • Meccanismi di proxy e rotazione degli IP: gli hacker utilizzano strumenti speciali per nascondere la provenienza degli attacchi modificando gli indirizzi di rete. La presenza di più posizioni false aiuta a mascherare la vera fonte dell'attacco in modo ancora più efficace e a evitare di essere scoperti dai sistemi di sicurezza.

  • Tecnologie avanzate dei bot: i bot basati sull'IA costituiscono i nuovi strumenti di hacking che sono molto efficaci nell'imitare le persone reali online. Questi programmi aggiungono persino ritardi casuali e movimenti del mouse per ingannare i sistemi di sicurezza. 

  • Strategie di distribuzione geografica: gli hacker lanciano attacchi da diversi paesi in tutto il mondo per evitare di destare sospetti. I tentativi di accesso provengono contemporaneamente da paesi come Europa, Asia e America. Il fatto di distribuire gli attacchi in tutto il mondo rende più difficile fermarli.

  • Sfruttamento dei protocolli: gli hacker cercano i punti deboli nella gestione dei login e delle password dei siti web. I problemi con le opzioni di reimpostazione delle password offrono agli hacker ulteriori possibilità di intrusione. Le misure di sicurezza obsolete o mal configurate aumentano le probabilità di successo di un attacco.

Come puoi prevenire gli attacchi di credential stuffing? 

Prevenire gli attacchi di credential stuffing richiede una strategia di sicurezza su più fronti. Le migliori pratiche includono quanto segue: 

1. Autenticazione multifattoriale avanzata. L'aggiunta di un secondo passaggio di accesso, come un codice OTP inviato al telefono, può bloccare gli accessi non autorizzati anche quando un malintenzionato è riuscito a ottenere una password rubata. 

2. Integrazione biometrica comportamentale. Il software di autenticazione sensibile al contesto può migliorare ulteriormente la protezione analizzando il comportamento degli utenti e i modelli di interazione, come il modo in cui gli utenti scorrono gli schermi o digitano. Il controllo di questi modelli unici blocca gli accessi falsi, anche con la password corretta. 

3. Implementazione di un'architettura zero-trust. Implementare sistemi di sicurezza che richiedono agli utenti di dimostrare la propria identità ad ogni tentativo di accesso. Partendo dal presupposto che nessuna fiducia intrinseca possa impedire le violazioni prima che si verifichino, garantire che solo gli utenti verificati possano accedere ai dati sensibili.  

4. Limitazione della velocità adattativa. Utilizza un software intelligente che rileva i tentativi di accesso troppo rapidi provenienti dalle reti di bot. Rallentando gli accessi quando si verifica questa situazione, permette di guadagnare tempo in modo da indagare e bloccare gli attacchi. Questo tipo di limitazione della velocità tiene lontani i bot che effettuano il credential stuffing, ma non interferisce con gli utenti reali.  

5. Tecnologie avanzate di rilevamento dei bot. Implementa strumenti di machine learning per differenziare tra accessi umani e modelli di attività automatizzati dei bot. Bloccare gli accessi simulati aiuta a impedire che campagne di stuffing su larga scala abbiano inizio. 

6. Strategie di autenticazione senza password. Adotta metodi di autenticazione senza password come WebAuthn, che si basano su chiavi crittografiche associate a dispositivi specifici. Queste strategie eliminano i rischi associati alle password tradizionali, rendendo inutilizzabili le credenziali rubate. 

7. Rotazione automatica delle credenziali. Assicurati che le credenziali di accesso vengano aggiornate regolarmente utilizzando sistemi automatici che impongono il ripristino quando vengono rilevate potenziali compromissioni. Ciò impedisce agli hacker di riutilizzare le password e riduce il rischio di breach causate da errori umani.   

8. Integrazione delle informazioni sulle minacce. Rimanere aggiornati sugli exploit emergenti garantisce che la sicurezza continui a essere efficace di fronte alle nuove minacce. Le risorse chiave includono CERT/CC, SecurityFocus e il National Vulnerability Database, che forniscono informazioni consultabili e classificabili. Per notizie approfondite sulla sicurezza e informazioni sulle minacce, segui fonti come SANS Internet Storm Center, CERT-EU.

9. Honeypot e tecnologia di inganno (deception technology). Predisponi sistemi di esca per distogliere gli hacker dalle risorse reali. Gli honeypot non solo proteggono i tuoi sistemi, ma ti aiutano anche a perfezionare le tue strategie di sicurezza raccogliendo dati preziosi sulle tecniche di hacking.

10. Test di penetrazione continui. Affidati a hacker etici per eseguire test di penetrazione regolari e verificare accuratamente le difese del tuo sistema. Questi professionisti sono in grado di identificare e analizzare le vulnerabilità e offrire consigli su come rafforzare le misure di sicurezza.

Attacchi di forza bruta

Che cos'è un attacco di forza bruta?

Un attacco di forza bruta è un attacco informatico in cui un hacker utilizza un software per testare sistematicamente diverse combinazioni di password al fine di ottenere l'accesso non autorizzato a un account.

Si chiama "forza bruta" perché gli hacker usano la potenza di calcolo per tentare ripetutamente di decifrare le password, invece di usare tecniche o abilità avanzate. 

A cosa servono gli attacchi brute force?

Gli attacchi di forza bruta mirano a sfruttare le vulnerabilità sistemiche per ottenere vantaggi di natura finanziaria, informativa e strategica. Secondo Google, questo approccio rimane il metodo più comunemente utilizzato per colpire le piattaforme cloud. Ad esempio, uno studio dell'AhnLab Security Emergency Response Center (ASEC) mostra che gli attacchi di forza bruta prendono di mira i server, utilizzando botnet e malware come Mirai e P2Pinfect per violare i sistemi.

Quali sono i diversi tipi di attacchi brute force?

Esistono diversi tipi di attacchi brute force, uno dei quali è il credential stuffing:

  • Credential stuffing: gli hacker sfruttano lunghi elenchi di nomi utente, indirizzi e-mail e password rubati ottenuti da precedenti violazioni dei dati: una tattica comune nota come: credential stuffing

  • Attacchi a dizionario: i criminali informatici utilizzano spesso software in grado di provare infinite combinazioni di parole comuni presenti nei dizionari in più lingue per violare le password.

  • Attacchi ibridi: si tratta di metodi sofisticati che combinano diversi tipi di attacchi. Ad esempio, gli hacker possono combinare un modello di attacco a dizionario con permutazioni numeriche e di caratteri speciali insieme a password reali trapelate per ottenere una maggiore precisione.

  • Attacchi Rainbow Table: in questo caso, gli hacker utilizzano hash delle password precalcolati per accelerare i processi di rilevamento delle password. Confrontano le copie dei database violati con il sistema dell'utente alla ricerca di corrispondenze per sbloccare l'accesso, rendendo gli attacchi più rapidi e difficili da tracciare.

  • Mask attack: questo tipo di attacchi si concentra sullo sfruttamento di modelli noti di struttura delle password e requisiti di complessità insieme a informazioni parziali. Ad esempio, se le prime stringhe di una password sono note, gli hacker utilizzano algoritmi per prevedere i caratteri rimanenti.

  • Attacchi distribuiti: grandi nodi computazionali coordinano migliaia di dispositivi per aumentare la capacità e la velocità degli attacchi di forza bruta.

Come prevenire gli attacchi di credential stuffing e di forza bruta

Come prevenire gli attacchi brute force 

Per prevenire gli attacchi di forza bruta è necessario istituire sistemi di difesa multilivello in grado di rilevare e bloccare i tentativi di accesso non autorizzati. È importante ricordare che gli attacchi di credential stuffing SONO un tipo di attacco di forza bruta, quindi queste strategie si applicano a entrambi. 

Le seguenti best practice possono aiutare a ridurre al minimo il rischio di un attacco di forza bruta:

1.  Implementare protocolli di autenticazione avanzati. Passa dalle password di base all'autenticazione a più fattori con funzionalità di valutazione adattiva del rischio. Questo approccio richiede ai clienti e ai dipendenti di completare ulteriori passaggi di convalida, come l'inserimento di codici monouso inviati ai telefoni o l'autenticazione biometrica. Misure aggiuntive come queste aumentano significativamente la difficoltà di effettuare attacchi di forza bruta agli account.

2.  Sviluppare politiche intelligenti per le password. Applica protocolli rigorosi che combinino requisiti di maggiore complessità con politiche di scadenza e rotazione delle password Utilizza piattaforme centralizzate di gestione delle identità per inserire nella lista nera le password comunemente oggetto di attacchi e stabilire standard minimi per la lunghezza e i tipi di caratteri. Applica strumenti basati sull'IA per identificare e risolvere i problemi legati alle password deboli o riutilizzate.

3.  Progettare sofisticati meccanismi di limitazione della velocità. Crea controlli di accesso per bloccare i tentativi ripetuti di accesso non riusciti provenienti dallo stesso indirizzo IP o intervallo di indirizzi. Ciò protegge dai tentativi continui di indovinare le password, mantenendo al contempo l'accessibilità per gli utenti legittimi. Assicurati che la configurazione sia corretta per evitare di bloccare involontariamente account validi.

4.  Integrare le informazioni sulle minacce in tempo reale. Collega l'infrastruttura di sicurezza alle piattaforme globali di monitoraggio delle minacce per rimanere aggiornato su indirizzi IP dannosi, credenziali compromesse e tecniche di attacco. Inoltre, automatizza i sistemi di analisi per monitorare le reti e gli account per individuare tempestivamente gli indicatori di forza bruta.

5.  Ottimizzare la segmentazione della rete. Suddividi strategicamente i sistemi e l'accesso ai dati per limitare i danni in caso di compromissione delle credenziali. Limita i punti di accesso VPN ed esterni, garantendo ai dipendenti livelli di accesso minimi. Se servi clienti in una località specifica, puoi utilizzare il geo-blocking per impedire agli hacker di altri paesi di accedere ai tuoi siti o alle tue app.

6.  Effettuare regolarmente test di penetrazione. Autorizza gli hacker etici a tentare di violare le difese utilizzando simulazioni di attacchi di forza bruta e altre minacce informatiche. Test di penetrazione come questo consentono di individuare le vulnerabilità e ti permettono di rafforzare continuamente la tua sicurezza informatica.

7.  Investire nell'analisi comportamentale. Crea profili dei modelli tipici degli utenti in relazione all'accesso ai dati, alle applicazioni e agli spostamenti geografici. Gli algoritmi di machine learning sono in grado di 

rilevare automaticamente comportamenti anomali indicativi di un uso improprio delle credenziali e di interrompere preventivamente le sessioni sospette.

In che modo Fastly può aiutare a prevenire gli attacchi di forza bruta?

Fastly offre una protezione efficace contro gli attacchi di forza bruta grazie a una suite di strumenti di sicurezza integrata progettata per implementare rapidamente difese a più livelli sul tuo sito web e sulle tue app. 

Next-Gen Web Application Firewall (WAF): il Next-Gen WAF di Fastly monitora e filtra il traffico web in entrata, bloccando automaticamente le attività sospette associate a tentativi di attacchi di forza bruta. Fornisce visibilità immediata sulle minacce emergenti.

Protezione DDoS: la soluzione protegge dai tentativi di attacchi di forza bruta distribuiti assorbendo e filtrando il traffico dannoso prima che raggiunga i server.

Limitazione della velocità: questa funzione limita rapidamente le richieste che un singolo cliente o indirizzo IP può inviare entro un determinato periodo di tempo, contribuendo a prevenire tentativi automatizzati di forza bruta.

Sicurezza edge: la piattaforma implementa difese più vicine alla fonte dell'attacco, riducendo al minimo la latenza e bloccando efficacemente le minacce.

Applicazione TLS/HTTPS: Fastly garantisce canali di comunicazione crittografati, proteggendo dall'intercettazione e dallo sniffing delle credenziali durante i tentativi di forza bruta.

Fastly offre un servizio di gestione dei bot progettato per rilevare e bloccare il traffico dannoso dei bot utilizzato negli attacchi informatici come il credential stuffing. 

  • Rilevamento automatico dei bot: Fastly distingue rapidamente gli utenti reali dai bot. Prima di bloccare, il sistema effettua un doppio controllo per evitare errori che potrebbero causare disagio agli utenti autentici.  

  • Classificazione delle minacce in tempo reale: poiché Fastly identifica le minacce nel momento stesso in cui si verificano, è possibile agire immediatamente per bloccare gli attacchi. 

Se desideri ulteriori informazioni su come Fastly può proteggerti dagli attacchi di forza bruta e credential stuffing, puoi contattarci

Pronto per iniziare?

Contattaci oggi
Parla con un esperto