Il futuro del business inizia con gli sviluppatori

Scopri di più
Company Il team dietro esperienze online migliori Mappa di rete Una nuova architettura per l'Internet moderno Relazioni con gli analisti del settore Scopri cosa dicono gli analisti di settore su Fastly Notizie Aggiornamenti e annunci recenti Piattaforma La piattaforma per esperienze digitali migliori, più veloci e più sicure Storie dei nostri clienti Scopri come hanno avuto successo i migliori siti web Eventi Connettiti con Fastly durante un evento Lavora con noi Unisciti al team che sta costruendo un internet migliore

Piattaforma edge cloud di Fastly

Vedi tutti i prodotti
Distribuzione dei contenuti (CDN) Offri esperienze rapide e personalizzate a livello mondiale Streaming live Offri esperienze di live streaming senza interruzioni Streaming Video (VoD) Offri esperienze video on-demand eccezionali Media Shield Ottimizza le distribuzioni multi-CDN On-the-Fly Packager Crea pacchetti dinamici di contenuti video on demand in tempo reale Image Optimizer Elaborazione rapida delle immagini sull'edge Bilanciatore del carico Controllo granulare sulle decisioni di routing Crittografia TLS Riduci la complessità della gestione TLS Origin Connect Connettiti direttamente a Fastly Indirizzi IP Gestisci facilmente gli indirizzi IP HTTP/3 e QUIC Protocolli moderni API di ricerca dei domini Ricerca immediata e accurata dei nomi di dominio Object Storage Get direct access to large files at the edge with zero egress fees
Next-Gen WAF Modern web app and API security, anywhere Gestione dei bot Rilevare e mitigare gli attacchi dei bot Protezione DDoS Mitigazione automatizzata degli attacchi dirompenti e distribuiti Sicurezza delle API Proteggi i tuoi endpoint API Protezione lato client Difesa dagli attacchi lato client Gestione dei bot IA Impedisci ai bot IA di estrarre i contenuti dei siti web
Edge Compute Porta le tue app a livello edge: la nostra piattaforma istantanea ti aiuta a creare esperienze straordinarie per i tuoi utenti Key Value Store Il Key Value Store più veloce che puoi ottenere, con la stessa facilità di utilizzo degli strumenti di database che conosci bene WebSockets e Fanout Messaggistica in tempo reale distribuita su scala globale, con personalizzazione completa e configurazione semplice. Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Enterprise Serverless La piattaforma serverless più potente, basata su standard aperti e integrata con la suite completa di prodotti Fastly IA Accelera i tuoi carichi di lavoro di IA e migliora l'efficienza con la cache semantica Object Storage Get direct access to large files at the edge with zero egress fees Cache programmabile Ottieni l'accesso programmabile completo alla stessa leggendaria cache che alimenta la nostra CDN. Server MCP Controllo potenziato dall'IA per i tuoi servizi Fastly.
Logging in tempo reale Trasmetti e analizza i log in tempo reale Edge Observer Esplora i dati sul traffico in tempo reale e storici Domain Inspector Valuta le informazioni a livello di dominio Origin Inspector Visualizza informazioni complete dall'origine all'edge Avvisi Crea notifiche per le metriche relative al servizio Log Explorer & Insights Interagisci con informazioni utili

Servizi straordinari per risultati eccezionali

Vedi tutti i servizi
Servizi professionali Assistenza specializzata per migrare o ottimizzare il tuo servizio di distribuzione Servizi di intrattenimento dal vivo Esperienze di live streaming con scalabilità per il tuo pubblico Piani di supporto Assistenza di prima classe dall'inizio alla fine Managed CDN Controllo e flessibilità ottimizzati Managed Security Protezione delle applicazioni web gestita con competenza Assistenza clienti Il supporto di Fastly ti aiuta a crescere meglio, insieme

Soluzioni digitali innovative

Scopri tutte le nostre soluzioni
Streaming media Offri live streaming e on-demand eccezionale Media emergenti Prestazioni elevate per i brand multimediali emergenti Editoria digitale Giornalismo in tempo reale con esperienze di lettura migliorate e-commerce Esperienze rapide e personalizzate su larga scala Servizi finanziari Sicurezza integrata per proteggere i dati dei clienti High tech Scala istantaneamente le tue prestazioni man mano che cresci Viaggi e ospitalità Esperienze online personalizzate per i tuoi ospiti e visitatori Istruzione online Offri esperienze di apprendimento sicure su larga scala Gaming Sostieni la prossima vittoria dei tuoi player con download di giochi ultra veloci e sicuri iGaming Offri un'esperienza di gioco veloce, sicura, senza interruzioni e coinvolgente a livello di edge
Risparmi sulle infrastrutture Ottieni una spesa cloud inferiore e più prevedibile Ottimizzazione multi-cloud Riduci la complessità e unifica le risorse cloud Fiducia dei clienti Scopri di più sulle iniziative di Fastly per la fiducia dei clienti Abilitazione della privacy Scopri come proteggere i dati dei tuoi utenti Dashboard di sostenibilità Consulta il tuo consumo di elettricità e le emissioni di gas serra per la piattaforma Fastly

Consentiamo a ogni sviluppatore di costruire esperienze incredibili

Prova Fastly gratis
Sviluppatori Costruisci qualcosa di straordinario oggi Fast Forward Creare un Internet più affidabile Strumenti di sviluppo Strumenti di sviluppo pensati per i team - con un edge in più Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Comunità Unisciti agli sviluppatori di tutto il mondo Registrati Crea un account sviluppatore gratuito

Contribuisci a creare una rete Internet veloce, sicura e coinvolgente con Fastly

Perché collaborare con Fastly Aiutaci a offrire esperienze sicure, veloci e coinvolgenti Cloud Partner Scopri i vantaggi di combinare Fastly con i tuoi servizi cloud Channel Partner Migliora le tue offerte e capacità con i prodotti Fastly Partner tecnologici e di integrazione Esplora il nostro ecosistema di partner
Accesso al portale partner Accedi a tutte le tue risorse partner di Fastly Diventa un partner Migliora la tua attività rivendendo o consigliando i prodotti Fastly Trova un partner Lascia che ti aiutiamo a trovare il partner giusto per le tue esigenze

Chiedi aiuto con Fastly

Documentazione Ottieni il massimo da Fastly Libreria delle risorse Esplora schede dati, report e altro ancora Fastly Academy Apprendimento pratico con i prodotti Fastly Centro di apprendimento Scopri la tecnologia Internet Blog I nostri ultimi pensieri e idee Ricerca sulla sicurezza Maggiore sicurezza grazie alla ricerca Il punto di vista di Fastly Esplora approfondimenti di esperti e del settore
Centro di Supporto Come possiamo aiutarti? Contattaci Contattaci oggi
Back to learning center

Che cosa sono gli attacchi di credential stuffing?

Il credential stuffing è un tipo di attacco informatico in cui nomi utente e password rubati vengono utilizzati per ottenere l'accesso non autorizzato a più siti web, sfruttando la pratica comune del riutilizzo delle password per compiere attività fraudolente. Con il 78% degli utenti che ricicla la stessa password su più siti, il credential stuffing è una minaccia per ogni organizzazione con account online.

Come funziona il credential stuffing?

Per eseguire un attacco informatico di credential stuffing, gli hacker utilizzano credenziali di accesso rubate per tentare di accedere a diversi siti, impiegando strumenti come botnet e rotazione IP per evitare il rilevamento. Una volta effettuati l'accesso, gli hacker possono avviare un'operazione di acquisizione dell'account, trasformando una singola credenziale rubata in una minaccia molto più grave.

Ecco uno sguardo dettagliato a come funziona il credential stuffing:

  • Aggregazione iniziale dei dati: gli hacker raccolgono elenchi di nomi utente e password rubati durante violazioni dei dati o li acquistano da siti criminali sul dark web. Gli elenchi di password rubate possono contenere centinaia di milioni di nomi utente e password e sono spesso disponibili per i malintenzionati a un prezzo relativamente basso.

  • Infrastruttura di convalida delle credenziali: in questa fase, i criminali informatici utilizzano speciali programmi informatici chiamati bot per tentare il logging contemporaneamente su molti sito web. Questi programmi automatizzati sono in grado di testare migliaia di password al minuto. Per rendere gli attacchi più efficaci, i truffatori possono istruire più computer compromessi a collaborare in una botnet.

  • Meccanismi di proxy e rotazione degli IP: gli hacker utilizzano strumenti speciali per nascondere la provenienza degli attacchi modificando gli indirizzi di rete. La presenza di più posizioni false aiuta a mascherare la vera fonte dell'attacco in modo ancora più efficace e a evitare di essere scoperti dai sistemi di sicurezza.

  • Tecnologie avanzate dei bot: i bot basati sull'IA costituiscono i nuovi strumenti di hacking che sono molto efficaci nell'imitare le persone reali online. Questi programmi aggiungono persino ritardi casuali e movimenti del mouse per ingannare i sistemi di sicurezza. 

  • Strategie di distribuzione geografica: gli hacker lanciano attacchi da diversi paesi in tutto il mondo per evitare di destare sospetti. I tentativi di accesso provengono contemporaneamente da paesi come Europa, Asia e America. Il fatto di distribuire gli attacchi in tutto il mondo rende più difficile fermarli.

  • Sfruttamento dei protocolli: gli hacker cercano i punti deboli nella gestione dei login e delle password dei siti web. I problemi con le opzioni di reimpostazione delle password offrono agli hacker ulteriori possibilità di intrusione. Le misure di sicurezza obsolete o mal configurate aumentano le probabilità di successo di un attacco.

Perché il credential stuffing è una minaccia per la tua azienda?

Quando i malintenzionati usano il credential stuffing per accedere agli account degli utenti e prenderne il controllo, possono danneggiare molto rapidamente le tue finanze, compromettere la reputazione del tuo marchio e ridurre la fiducia dei clienti. Vediamo nel dettaglio come questa forma di attacco può influire sulla tua attività: 

  • Implicazioni finanziarie: Gli attacchi di credential stuffing riusciti consentono ai criminali di effettuare acquisti e transazioni illegali con gli account di altri utenti. Queste perdite dei clienti devono spesso essere rimborsate dall'azienda che fornisce gli account compromessi. Anche l’onere di supportare i clienti interessati, indagare sugli incidente e adottare misure per prevenire future breach può essere considerevole: IBM ha stabilito che ogni data breach costa alle aziende in media 4,24 milioni di $.

  • Distruzione della reputazione: se un attacco di credential stuffing espone le informazioni dei clienti o causa danni finanziari, i clienti perderanno fiducia nella tua azienda, rivolgendosi potenzialmente ai tuoi concorrenti. La maggior parte dei clienti afferma che smetterebbe di fare affari con un'azienda che ha subito un data breach che ha esposto informazioni sensibili o finanziarie.

  • Rischi di conformità normativa: le autorità di regolamentazione sanzionano le organizzazioni che non riescono a prevenire il credential stuffing e le multe per le violazioni spesso raggiungono milioni di dollari per incidente. Ad esempio, Geico è stata multata di 9,75 milioni di $ quando un attacco di credential stuffing ha consentito l'accesso non autorizzato a informazioni sensibili dei clienti. 

Le 10 migliori raccomandazioni su come prevenire il credential stuffing

Bloccare questi tipi di attacco digitale prima che si verifichino richiede pianificazione strategica, misure proattive e gli strumenti giusti per bloccare gli hacker prima che colpiscano. Combinare più livelli di difesa è molto più conveniente in termini di costi che affrontare ogni debolezza evidenziata da un attacco.

Ecco dieci modi per contrastare gli attacchi di credential stuffing: 

1. Autenticazione multifattoriale avanzata

L'aggiunta di un secondo passaggio di accesso, come un codice OTP inviato al telefono, può bloccare gli accessi non autorizzati anche quando un malintenzionato è riuscito a ottenere una password rubata. 

2. Integrazione biometrica comportamentale

 Il software di autenticazione sensibile al contesto può migliorare ulteriormente la protezione analizzando il comportamento degli utenti e i modelli di interazione, come il modo in cui gli utenti scorrono gli schermi o digitano. Il controllo di questi modelli unici blocca gli accessi falsi, anche con la password corretta. 

3. Implementazione di un'architettura zero-trust

Implementa sistemi di sicurezza che richiedono all'utente di dimostrare la propria identità a ogni tentativo di accesso. Partendo dal presupposto che non esista alcuna fiducia intrinseca, i breach vengono fermati prima ancora che inizino, garantendo che solo l'utente verificato possa accedere ai dati sensibili.  

4. Limitazione della velocità adattativa

Utilizza un software intelligente che rileva i tentativi di accesso troppo rapidi provenienti dalle reti di bot. Rallentando gli accessi quando si verifica questa situazione, permette di guadagnare tempo in modo da indagare e bloccare gli attacchi. Questo tipo di limitazione della velocità tiene lontani i bot che effettuano il credential stuffing, ma non interferisce con gli utenti reali.  

5. Tecnologie avanzate di rilevamento dei bot

Distribuisci strumenti di machine learning per differenziare tra modelli di accesso umano e attività automatizzate dei bot. Bloccare gli accessi simulati aiuta a impedire che campagne di stuffing su larga scala abbiano inizio. 

6. Strategie di autenticazione senza password

Adotta metodi di autenticazione senza password come WebAuthn, che si basano su chiavi crittografiche associate a dispositivi specifici. Queste strategie eliminano i rischi associati alle password tradizionali, rendendo inutilizzabili le credenziali rubate. 

7. Rotazione automatica delle credenziali

Assicurati che le credenziali di accesso vengano aggiornate regolarmente utilizzando sistemi automatici che impongono il ripristino quando vengono rilevate potenziali compromissioni. Ciò impedisce agli hacker di riutilizzare le password e riduce il rischio di breach causate da errori umani.   

8. Integrazione delle informazioni sulle minacce

Rimanere aggiornati sugli exploit emergenti garantisce che la sicurezza continui a essere efficace di fronte alle nuove minacce. Le risorse chiave includono CERT/CC, SecurityFocus e il National Vulnerability Database, che forniscono informazioni consultabili e classificabili. Per notizie approfondite sulla sicurezza e informazioni sulle minacce, segui fonti come SANS Internet Storm Center, CERT-EU.

9. Honeypot e tecnologia di inganno

Predisponi sistemi di esca per distogliere gli hacker dalle risorse reali. Gli honeypot non solo proteggono i tuoi sistemi, ma ti aiutano anche a perfezionare le tue strategie di sicurezza raccogliendo dati preziosi sulle tecniche di hacking.

10. Test di penetrazione continui

Affidati a hacker etici per eseguire test di penetrazione regolari e verificare accuratamente le difese del tuo sistema. Questi professionisti sono in grado di identificare e analizzare le vulnerabilità e offrire consigli su come rafforzare le misure di sicurezza.

Usa Fastly per la protezione più efficace contro il credential stuffing

Poiché gli hacker aggiornano continuamente i loro metodo, per restare al passo con le minacce online come il credential stuffing sono necessari apprendimento continuo, vigilanza 24/7 e aggiornamenti regolari allo strumento di sicurezza. Anche se non esiste una soluzione miracolosa, è essenziale adottare un approccio completo a più livelli. 

Fastly offre un servizio di gestione dei bot progettato per rilevare e bloccare il traffico dannoso dei bot utilizzato negli attacchi informatici come il credential stuffing. 

Alcuni dei benefici dello strumento di gestione dei bot includono: 

  • Rilevamento automatico dei bot: Fastly distingue rapidamente gli utenti reali dai bot. Prima di bloccare, il sistema effettua un doppio controllo per evitare errori che potrebbero causare disagio agli utenti autentici.  

  • Classificazione delle minacce in tempo reale: poiché Fastly identifica le minacce nel momento stesso in cui si verificano, puoi agire immediatamente per bloccare gli attacchi. 

  • Sfide interattive e non interattive: la soluzione include test come i CAPTCHA che aiutano a bloccare i bot, consentendo al contempo alle persone reali di accedere al tuo sito.

  • Limitazione della velocità: questa funzionalità rallenta i tentativi di accesso sospetti. Limitando le richiesta da fonti sospette, Fastly protegge i server da arresti anomali.

  • Visibilità avanzata: fornendo statistiche approfondite, Fastly ti consente di indagare sugli attacchi. Un’analisi approfondita mostra quali bot sono stati bloccati di recente, così puoi comprendere più chiaramente le tendenze.

  • Soluzioni personalizzabili: Fastly adatta la gestione dei bot alle esigenze della tua azienda e ti consente di creare piani di difesa unici per la tua attività. 

  • Protezione edge: con Fastly, le minacce vengono bloccate direttamente alla rete edge, riducendo la latenza e migliorando la sicurezza in tutta l'infrastruttura.

Vuoi vedere come la soluzione di gestione dei bot di Fastly può proteggere la tua attività? Richiedi una demo oggi. 

Pronto per iniziare?

Contattaci oggi
Parla con un esperto