I vostri dati sensibili sono
più vulnerabili che mai

La minaccia oggi si chiama Credential Stuffing

I siti web offrono alle aziende un livello di contatto con i clienti assolutamente inestimabile e senza precedenti. Al tempo stesso tuttavia, i dati sensibili vengono oggi a trovarsi in posizioni a cui utenti malintenzionati possono accedere facilmente, tramite strumenti automatizzati noti con il nome di bot.

Secondo un'autorevole ricerca sulla sicurezza web, il traffico bot può arrivare a rappresentare fino al 60% del traffico web nel suo complesso, ma solo il 28% di tutto il traffico bot viene dichiarato.1 Il traffico bot comprende naturalmente sia bot legittimi che svolgono attività di business essenziali, come gli indicizzatori dei motori di ricerca, e bot nocivi che eseguono attività dannose, come lo scraping di prezzi e contenuti. Una delle attività più dannose e costose perpetrate da questi ultimi è il cosiddetto Credential Stuffing, ossia la compilazione delle credenziali, e può riguardare qualsiasi organizzazione che possieda una pagina di login nel proprio sito web.

Ma come distinguere i bot utili da quelli dannosi? Come garantire la sicurezza delle credenziali dei vostri visitatori continuando a promuovere il successo del vostro sito? La prima cosa da fare è capire meglio in che modo e perché i bot dannosi amplificano le minacce generate dagli autori degli attacchi.

Perché i bot rappresentano la minaccia più complessa da contrastare per la vostra azienda:

I bot hanno accesso a un ampio bacino di indirizzi IP.

Gli hacker infatti recuperano oppure acquistano elenchi di credenziali utente sottratte mediante violazioni di dati, caricandole quindi in una botnet. Armati di queste credenziali divulgate, questi bot dannosi possono sferrare attacchi intensivi basati su tentativi di login contro aziende di qualsiasi settore. I bot dannosi sono infatti in grado di eseguire centinaia di migliaia di tentativi di login basandosi sulla strategia dei "molti a molti", ossia impiegando più risorse di attacco per prendere di mira molte applicazioni web contemporaneamente.

I bot sfuggono ai controlli.

Le attuali soluzioni di sicurezza online non sono in grado di rilevare i bot dannosi in quanto questi ultimi sferrano attacchi distribuiti su un arco di tempo, in modo da essere confusi con bot legittimi. Inoltre, gli hacker possiedono oggi gli strumenti per aggirare i meccanismi di rilevamento attraverso il cross-targeting delle destinazioni, la raccolta di token utente e riproducendo il comportamento di un utente normale. Senza contare l'ampia fetta di attacchi indirizzati alle API mobile, che solitamente non presentano lo stesso livello di sicurezza di altre applicazioni web.

I bot sono estremamente persistenti nel tempo.

Una volta impostato l'algoritmo, un hacker è in grado di utilizzare i bot per prendere di mira senza sforzo centinaia di migliaia di indirizzi IP quotidianamente, per settimane, fino a quando non abbia raggiunto il proprio scopo, ossia quello di riuscire a compilare le credenziali. Questo metodo di attacco va spesso a buon fine in quanto molti utenti impiegano le stesse credenziali per accedere a siti web diversi, per cui una percentuale di questi tentativi di login avrà esito favorevole.

Registrando le credenziali che consentono l'accesso, gli utenti malintenzionati sono in grado di lanciare attacchi devastanti tramite cui assumere il controllo dell'account. Inoltre i bot estremamente sofisticati oggi in circolazione possono randomizzare indirizzi IP, intestazioni e User agent, il che rende ancora più difficile difendersi contro questo tipo di minaccia.

Un'importante istituzione finanziaria ha calcolato che
il costo di un attacco per il controllo dell'account,
originato da una campagna di compilazione delle credenziali, può
aggirarsi intorno ai 1.500-2.000 dollari
per ogni account.

In un test della durata di 60 minuti è stato rilevato
solo il 64%
dei tentativi di login
da parte di una botnet.2

Battete i bot. Tenetevi sempre aggiornati.

Una delle minacce peggiori alla sicurezza oggi proviene dal Credential Stuffing.

Scoprite ulteriori informazioni sul Credential Stuffing e in che modo proteggere la vostra azienda.

Scoprite come