Dark background with blue code overlay
Blog

Come difendersi dalle botnet

userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.

botnets.png

Non è un segreto che la pandemia globale abbia generato un aumento degli attacchi ai servizi finanziari. Per tutto il 2020, i criminali hanno sfruttato la tensione economica causata dal COVID-19, la promessa di assistenza finanziaria, lo stress derivante dalle difficoltà economiche per sferrare, contro gli utenti di tutto il mondo, i loro attacchi di phishing

Riuscire ad adattarsi alla velocità con cui gli attacchi si evolvono aggiunge un altro livello di complessità, soprattutto ora che il phishing-as-a-service è un'attività chiavi in mano. I criminali, ad esempio, utilizzando un kit acquistato sul dark web, impiegano persino messaggi SMS inviati in modo fittizio da istituti finanziari per convincere vittime ignare a condividere le loro credenziali di accesso. Uno di questi kit, Kr3pto, è stato collegato a più di 4.000 campagne di phishing perpetrate tramite SMS, con l'obiettivo di colpire i clienti di importanti banche come HSBC negli Stati Uniti e nel Regno Unito.

A loro volta, gli autori di questi attacchi commercializzano, vendono e sfruttano le credenziali rubate e questo, insieme alle violazioni di dati su larga scala, ha alimentato la crescita esponenziale degli attacchi di credential stuffing. Milioni di nuovi nomi utente e password, legati a diversi gravi incidenti verificatisi dall'inizio della pandemia, hanno iniziato a circolare su diversi forum del dark web. Una volta in circolazione, sono stati testati su importanti istituti finanziari e una miriade di marchi su Internet. Sfortunatamente, questo metodo sfrutta ancora efficacemente il fatto che la maggior parte degli utenti tendano a utilizzare le stesse credenziali su più piattaforme.

Un rapporto del 2021 sullo stato di Internet di Akamai, relativo al phishing nel settore finanziario (SOTI), rivela che nel 2020 si sono verificati globalmente 193 miliardi di attacchi di credential stuffing. Nel maggio 2020, ci sono due date da segnalare: Il 9 maggio, l'abuso di credenziali ha raggiunto un picco di 786.882.475 attacchi a livello globale. Cinque giorni dopo, il 14 maggio, il settore dei servizi finanziari ha registrato il suo picco record: 47.698.955 attacchi. I dati sul credential stuffing pubblicati nel nostro rapporto SOTI più recente hanno mostrato che il volume degli attacchi è rimasto stabile nel 2021, con flessioni e picchi nei primi due trimestri, seguiti da due attacchi più rilevanti registrati a gennaio e a maggio. In queste date, gli attacchi di credential stuffing hanno superato quota 1 miliardo al giorno (vedere il grafico riportato di seguito).

botnet1.png

Le botnet creano un boom di credential stuffing a livello globale

Per un CSO di servizi finanziari, due aspetti sono prioritari: la sicurezza delle informazioni di identificazione personale (IIP) dei clienti e la disponibilità ininterrotta dei servizi digitali. Entrambi sono essenziali per fidelizzare i clienti e soddisfare i requisiti normativi. Gli attacchi di credit stuffing minacciano la sicurezza delle IIP e possono addirittura trasformarsi in attacchi DDoS che interrompono la fornitura dei servizi.

Prendiamo come esempio quanto è successo a un gruppo di servizi finanziari Global 500. Un giorno il loro sito dedicato alle pensioni, che di solito subisce 20.000 tentativi di accesso non validi al giorno, aveva iniziato a ricevere 50.000 tentativi di questo tipo ogni cinque minuti. Durante l'attacco, l'infrastruttura si era trovata in difficoltà poiché gli utenti si vedevano interrompere le sessioni in corso o non erano in grado di accedere ai loro account. L'aspetto peggiore era che i timori dei loro clienti erano fondati: non potevano accedere perché qualcuno stava cercando di prendere il controllo dei loro account. 

Per quanto le banche e altri istituti finanziari incoraggino i clienti a modificare regolarmente la propria password, le persone continuano a utilizzare le stesse credenziali di accesso su più account online (retail, banking, utility). Anche dopo l'annuncio di una violazione dei dati, solo un terzo circa degli utenti cambia le proprie password, in base a uno studio del 2020 pubblicato dal Security and Privacy Institute (CyLab) della Carnegie Mellon University. Questa apatia gioca a favore degli utenti malintenzionati. Due terzi delle credenziali rubate probabilmente funzioneranno su altri siti, soprattutto se si considera che i criminali perfezioneranno l'elenco delle combinazioni con varie fonti per generare nuove password se le combinazioni originali non dovessero funzionare. 

Le banche sono un target particolarmente attraente di questa incessante spinta al controllo di account. Più di oltre 3,4 miliardi degli attacchi del 2020 si sono verificati nel settore finanziario, con un incremento del 45% rispetto al 2019. In una massiccia campagna di credential stuffing, un istituto finanziario è stato bombardato con 55.141.782 tentativi di accesso dannosi. Si è trattato del più imponente attacco di credenzial stuffing ai danni del settore finanziario mai visto da quando abbiamo iniziato a contrastare queste minacce. 

Una soluzione di gestione dei bot per prevenire o mitigare gli attacchi

Le botnet automatizzate tentano di convalidare centinaia di migliaia di credenziali utente sui siti web bancari, riutilizzando quelle che funzionano per prendere il controllo dei conti correnti, richiedere prestiti fraudolenti e sottrarre denaro (a volte vanno direttamente al punto tre). Fermare questi attacchi non è semplice: le informazioni di accesso sono legittime; è l'entità che tenta di autenticarsi che non lo è. 

In qualità di provider di sicurezza, abbiamo visto fino a 300.000 tentativi di accesso fraudolenti all'ora da una singola botnet, con la conseguente perdita di denaro, privacy e (cosa peggiore) fiducia dei consumatori. Secondo una ricerca del Ponemon Institute, i costi totali associati al credential stuffing, che includono perdite correlate alle frodi, sicurezza operativa, downtime delle applicazioni e tasso di abbandono dei clienti, possono aggirarsi tra i 6 e i 54 milioni di dollari all'anno.

La capacità di fermare gli attacchi di credential stuffing dipende in gran parte dalla corretta scelta degli strumenti. Sebbene la maggior parte delle soluzioni sia progettata per distinguere i bot dagli attori legittimi, ci sono due aspetti importanti da considerare: 

  • Quanto efficacemente la soluzione tiene il passo con l'evoluzione delle botnet 
  • Quanto è efficace a garantire un impatto minimo sulla user experience del cliente

Quanto sono sofisticasti i bot e qual è la loro velocità di mutazione?

Considerate le significative opportunità di profitto, il credential stuffing attira alcuni degli hacker più pericolosi, con il risultato di bot altrettanto altamente sofisticati. È quindi essenziale acquisire una conoscenza dettagliata dell'attuale panorama dei bot all'interno del proprio settore e delle tecnologie di rilevamento disponibili. La soluzione ideale sarà quella in grado di rilevare i bot più sofisticati in cui potreste imbattervi. 

I bot sofisticati mutano. Molte soluzioni per la gestione dei bot sono in grado di rilevarli in un primo momento, ma non riescono più a identificarli quando iniziano a mutare. Questo accade quando gli autori degli attacchi si accorgono che i loro bot sono stati individuati e immediatamente aggirano la vostra soluzione aggiornando il loro software. I bot mutati possono ora evitare il rilevamento originale e essere nuovamente sfruttati. Le soluzioni devono quindi essere altrettanto sofisticate e adottare tecnologie efficaci di rilevamento dei bot, come l'analisi del comportamento degli utenti, che rimangono valide anche quando i bot mutano. 

La funzionalità di reporting è un altro fattore critico. La possibilità di esaminare in dettaglio bot, botnet o caratteristiche dei bot specifici fornisce informazioni rapide e affidabili su ciò con cui si ha a che fare. Senza una chiara comprensione, le vostre risposte saranno solo temporanee. 

Blocco dei bot senza compromettere gli accessi dei clienti 

A causa della pandemia, sempre più clienti bancari effettuano transazioni online e mobili. I volumi del traffico web per un cliente dei servizi finanziari Akamai hanno registrato una crescita notevole dopo il lockdown di marzo 2020 e ora, dopo più di un anno e mezzo, le operazioni di digital banking sono divenute la nuova normalità del settore. Ciò significa che è ancora più importante selezionare soluzioni di sicurezza compatibili con la user experience del cliente. 

Gli onerosi controlli di captcha, ad esempio, tendono a avere un forte impatto sulla user experience, creando il tipo di frustrazione che può minare la fedeltà dei clienti (chi ama ripetere operazioni di riconoscimento noiose e soggette a errori?) Una soluzione di autenticazione (multifattore) intuitiva che opera in un ambiente protetto da uno strumento di gestione dei bot non invasivo consente di identificare correttamente gli utenti ed eliminare i bot dannosi senza aggiungere ulteriore complessità per l'utente. 

Inoltre, l'avanzata tecnologia di apprendimento automatico e l'analisi delle anomalie del comportamento determinano una migliore accuratezza. Più l'algoritmo è sensibile, più precisa è l'analisi, maggiore sarà la capacità di ridurre l'impatto sulle performance e i falsi positivi.

Akamai offre più criteri per selezionare gli strumenti in grado di rafforzare la protezione senza interferire con la user experience. Il raggiungimento di questi obiettivi insieme contribuirà a mantenere la fiducia e la fedeltà dei vostri stimati clienti e ad attrarne di nuovi. Le botnet sono inesorabili, ma non invincibili.

Scoprite come Akamai può aiutare le società di servizi finanziari.



userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.