Credential Stuffing: come difendersi

Indice dei contenuti

• Cos’è il Credential Stuffing
• Come avviene un attacco di Credential Stuffing
• Come prevenire un attacco di Credential Stuffing
• Come rimediare dopo un attacco di Credential Stuffing

La sicurezza delle informazioni personali è diventata una priorità assoluta. Tuttavia, le minacce informatiche evolvono costantemente, e tra le più insidiose vi è senza dubbio il Credential Stuffing.

Si tratta di una tecnica di attacco sempre più utilizzata dagli hacker, che sfrutta un’abitudine molto comune: il riutilizzo di username e password su più piattaforme.

In questo articolo, esploreremo nel dettaglio cosa significa Credential Stuffing, come funziona questo tipo di attacco, quali sono le migliori strategie per prevenirlo e cosa fare se si scopre di essere stati vittima.

Cos’è il Credential Stuffing

Il Credential Stuffing è un attacco informatico automatizzato che consiste nell’utilizzare elenchi di credenziali compromesse — in genere ottenute da precedenti violazioni di dati — per tentare di accedere ad altri account degli utenti.

Il presupposto alla base di questa tecnica è semplice ma efficace: molte persone utilizzano la stessa combinazione di username e password su più servizi online, facilitando così il lavoro degli hacker.

A differenza degli attacchi di Brute Force, in cui vengono provate combinazioni casuali di caratteri finché non si trova quella corretta, il Credential Stuffing si basa su dati reali già trafugati da altri incidenti di sicurezza. Questi dati vengono spesso venduti o scambiati nel dark web, all’interno di forum illegali o marketplace specializzati.

Il successo di questi attacchi deriva proprio dalla scarsa attenzione degli utenti alla sicurezza delle proprie credenziali. Secondo un rapporto di Verizon Data Breach Investigations Report, oltre l’80% degli attacchi basati su credenziali sfrutta dati provenienti da precedenti data breach.

Le conseguenze possono essere devastanti: accesso non autorizzato ad account bancari, email, social network, piattaforme di e-commerce e persino portali aziendali, con potenziali danni economici e di reputazione per utenti e imprese.

Come avviene un attacco di Credential Stuffing

Gli attacchi di Credential Stuffing si basano sulla forza bruta dell’automazione e sulla disponibilità di milioni di coppie di username e password che, negli anni, sono state trafugate in seguito a giganteschi data breach.

Piattaforme come LinkedIn, Adobe, Dropbox, Facebook e persino portali governativi sono stati vittime di violazioni in cui le credenziali degli utenti sono finite in mano a cybercriminali.

Come viene preparato un attacco

Tutto inizia con il reperimento delle credenziali compromesse. Gli hacker acquistano o scaricano gratuitamente queste liste sul dark web o in forum underground.

Questi database, chiamati spesso combo list, contengono milioni di righe del tipo:

utente1@email.com:password123

utente2@gmail.com:qwerty2020

utente3@yahoo.com:123456

Una volta in possesso di questi dati, gli attaccanti utilizzano strumenti automatizzati come Sentry MBA, SNIPR, OpenBullet o software customizzati.

Questi tool sono progettati per tentare l’accesso a una piattaforma specifica inserendo, in maniera automatica e massiva, ogni coppia di credenziali.

Questi strumenti sono altamente configurabili: permettono agli hacker di impostare proxy, user-agent randomizzati, simulare comportamenti umani, integrare bypass per CAPTCHA e sfruttare liste di target (ad esempio, portali di e-commerce o servizi bancari).

Un esempio pratico: OpenBullet

OpenBullet è uno degli strumenti più utilizzati per il Credential Stuffing perché offre un’interfaccia intuitiva e permette di costruire veri e propri config file che descrivono come interagire con un sito bersaglio.

Un attacco con OpenBullet funziona così:

1. Si prepara una combo list con milioni di credenziali.
2. Si configura il software con il comportamento della piattaforma bersaglio (endpoint di login, parametri richiesti, gestione dei cookie).
3. Si impostano centinaia o migliaia di proxy per non essere bloccati per traffico sospetto.
4. Si lancia l’attacco che può tentare migliaia di login al minuto.

Se anche solo lo 0,1% delle credenziali risulta valida, l’attaccante ottiene accesso a centinaia o migliaia di account.

Esempio reale di attacco

Un caso emblematico è quello di Disney+: poche ore dopo il lancio globale della piattaforma, centinaia di utenti si sono ritrovati con gli account compromessi.

Gli hacker non avevano violato i server Disney, ma avevano semplicemente utilizzato elenchi di credenziali già trafugate in passato, provandole sui portali di login Disney+ e riuscendo ad accedere agli account di quegli utenti che avevano riutilizzato le stesse password di altri servizi.

Un altro esempio è l’attacco subito da Spotify nel 2020, quando oltre 300.000 account furono compromessi attraverso un’operazione di Credential Stuffing basata su una lista di dati proveniente da vecchi data leak.

Schema semplificato del flusso di un attacco

Per comprendere meglio la dinamica, ecco un flusso sintetico:

1. Raccolta dati
   Acquisizione di database di credenziali rubate.
2. Preparazione tool
   Configurazione di OpenBullet o software simili con combo list, proxy e parametri del sito target.
3. Esecuzione
   Invio massivo e automatizzato di richieste di login.
4. Verifica
   Salvataggio delle credenziali che risultano valide.
5. Monetizzazione
   Rivendita delle credenziali, furto d’identità, accesso a informazioni sensibili, frodi.

Esempio tecnico: codice dimostrativo di Credential Stuffing
Per fini puramente educativi e didattici e per aiutare la comprensione tecnica, riportiamo un esempio semplificato (non funzionante contro sistemi reali perché mancano logiche di bypass dei sistemi di sicurezza):

import requests

# Combo list semplificata

combo_list = [

    {"username": "user1@email.com", "password": "password123"},

    {"username": "user2@gmail.com", "password": "qwerty2020"},

    {"username": "user3@yahoo.com", "password": "123456"},

]

# URL del portale target (esempio)

login_url = "https://www.targetsite.com/login"

for creds in combo_list:

    payload = {

        "email": creds["username"],

        "password": creds["password"]

    }

    try:

        response = requests.post(login_url, data=payload)

        if "Welcome" in response.text or response.status_code == 200:

            print(f"[SUCCESS] {creds['username']}:{creds['password']}")

        else:

            print(f"[FAILED] {creds['username']}")

    except Exception as e:

        print(f"Error with {creds['username']}: {e}")

Questo è ovviamente un codice didattico e non rappresenta la complessità reale di un attacco, ma serve per far capire come funziona la logica base: prendere una lista di credenziali e provare ad autenticarsi in modo automatizzato.

Tecniche per eludere i sistemi di difesa

I cybercriminali, per massimizzare l’efficacia, adottano numerose strategie per superare i controlli di sicurezza:

• Uso di proxy o VPN per mascherare gli indirizzi IP e aggirare i limiti di accesso.
• Rotazione degli User-Agent per simulare diversi dispositivi o browser.
• Implementazione di delay casuali tra un tentativo e l’altro per evitare di essere rilevati come bot.
• Bypass di CAPTCHA tramite plugin OCR o servizi esterni.
• Attacco su API non protette invece che sulla classica interfaccia web.

Cosa fanno gli hacker con gli account compromessi

Una volta ottenuto accesso agli account, gli hacker possono monetizzare in diversi modi:

• Vendere pacchetti di credenziali verificate su marketplace illegali.
• Effettuare acquisti non autorizzati con carte di pagamento salvate negli account.
• Vendere l’accesso agli account streaming o e-commerce.
• Utilizzare gli account per campagne di phishing o invio di spam.
• Rubare dati personali per successivi furti d’identità.

Secondo un report di Akamai, tra il 2018 e il 2020 sono stati registrati oltre 100 miliardi di tentativi di Credential Stuffing a livello globale.

Come prevenire un attacco di Credential Stuffing

La prevenzione è senza dubbio l’arma più efficace contro gli attacchi di Credential Stuffing. Questo tipo di attacco, infatti, non sfrutta vulnerabilità tecniche dei sistemi informatici, ma debolezze comportamentali degli utenti e configurazioni di sicurezza insufficienti.

Ecco perché la difesa si basa soprattutto sull’adozione di buone pratiche, strumenti adeguati e policy di sicurezza solide, sia per i singoli utenti sia per le aziende.

Password uniche e complesse: la regola d’oro

Il primo e fondamentale passo per ridurre il rischio di un attacco di Credential Stuffing è non riutilizzare mai la stessa password su più account.

Questa è la vulnerabilità principale su cui fanno leva gli hacker. Quando un sito subisce una violazione dei dati, le credenziali vengono raccolte e testate su altre piattaforme.

Se un utente utilizza la stessa password per la propria email, il conto bancario e i social network, una sola compromissione apre la porta a un effetto domino potenzialmente disastroso.

La raccomandazione degli esperti di Cyber Security è quella di utilizzare password:

• lunghe almeno 12-16 caratteri;
• composte da lettere maiuscole e minuscole, numeri e caratteri speciali;
• uniche per ogni account.

È inoltre utile adottare la tecnica delle passphrase, ovvero combinazioni di parole di senso compiuto ma difficili da indovinare, come ad esempio:
Natura$Pioggia-Volpe-27!

L’importanza dell’autenticazione a più fattori (MFA)

Anche la password più robusta può essere compromessa. Per questo motivo, è fondamentale abilitare l’autenticazione a più fattori (MFA), detta anche 2FA (Two-Factor Authentication).

L’MFA richiede un secondo livello di verifica oltre alla password, come ad esempio:

• un codice temporaneo generato da app come Google Authenticator, Authy o Microsoft Authenticator;
• un token fisico come YubiKey o Feitian ePass;
• un codice inviato via SMS (soluzione meno sicura ma comunque efficace);
• sistemi biometrici (impronta digitale, riconoscimento facciale).

Secondo un report di Microsoft, l’utilizzo della MFA blocca oltre il 99% degli attacchi automatizzati basati su credenziali rubate.

Monitoraggio avanzato degli accessi

Le aziende possono proteggersi dagli attacchi di Credential Stuffing implementando soluzioni di monitoraggio e rilevamento delle anomalie.

Questi sistemi analizzano il comportamento degli accessi in tempo reale, identificando pattern sospetti come:

• un numero elevato di tentativi falliti dallo stesso indirizzo IP;
• tentativi provenienti da geolocalizzazioni insolite;
• login simultanei da dispositivi differenti;
• velocità anomala delle richieste di login.

Strumenti di Security Information and Event Management (SIEM) come Splunk, IBM QRadar o Elastic Securityconsentono di aggregare e analizzare questi dati, permettendo agli analisti di reagire in tempo reale a possibili attacchi.

In aggiunta, molte piattaforme implementano sistemi di rate limiting che bloccano o rallentano il numero di tentativi di login dallo stesso indirizzo IP, rendendo gli attacchi di Credential Stuffing molto più difficili da realizzare su larga scala.

Utilizzo di CAPTCHA avanzati

Un altro strumento efficace per contrastare l’automazione tipica di questi attacchi è l’uso di CAPTCHA evoluti. I semplici CAPTCHA basati sul riconoscimento di caratteri sono ormai superati e facilmente aggirabili con software OCR.

Le soluzioni moderne, come reCAPTCHA v3 di Google, hCaptcha o sistemi proprietari, analizzano diversi parametri comportamentali, come:

• la velocità con cui viene completato il form;
• il movimento del mouse;
• la frequenza e la provenienza delle richieste.

Questi sistemi permettono di distinguere un utente reale da un bot, bloccando sul nascere tentativi massivi di login automatizzati.

Password Manager: uno strumento fondamentale per l’utente

Per gli utenti, uno degli ostacoli maggiori è la difficoltà nel gestire decine di password uniche e complesse. Per risolvere questo problema, è altamente consigliato l’utilizzo di un Password Manager affidabile.

Strumenti come 1Password, Bitwarden, Dashlane o LastPass (versione Business) consentono di:

• generare password robuste;
• memorizzarle in modo cifrato;
• sincronizzarle tra dispositivi;
• compilare automaticamente i campi di login in maniera sicura.

In ambito aziendale, l’utilizzo di un Password Manager aziendale permette anche di gestire le credenziali condivise tra team, controllare gli accessi e ridurre drasticamente il rischio di compromissione.

Strategie avanzate per aziende

Per le aziende che gestiscono grandi volumi di utenti, è fondamentale adottare ulteriori misure di protezione:

• Device fingerprinting
  Monitoraggio di informazioni specifiche sul dispositivo da cui avviene l’accesso.
• Behavioral analytics
  Analisi del comportamento abituale degli utenti per rilevare deviazioni sospette.
• Bot management platforms
  Soluzioni come Cloudflare Bot Management, Akamai Bot Manager o PerimeterX che rilevano e bloccano traffico automatizzato malevolo.
• IP reputation filtering
  Blocco automatico di indirizzi IP noti per attività malevole.

Un approccio multilivello

In sintesi, la prevenzione del Credential Stuffing non può basarsi su una sola misura di sicurezza, ma deve essere costruita su un approccio a più livelli, che includa:

• Buone pratiche degli utenti (password uniche, MFA);
• Tecnologie di protezione avanzate (rate limiting, CAPTCHA, monitoraggio);
• Consapevolezza e formazione continua.

Come ribadito dal National Institute of Standards and Technology (NIST) nelle sue linee guida sulla gestione delle credenziali digitali, la sicurezza delle credenziali è una responsabilità condivisa tra utenti, sviluppatori e amministratori di sistema.

Come rimediare dopo un attacco di Credential Stuffing

Se si scopre di essere stati vittima di un attacco di Credential Stuffing, è fondamentale intervenire rapidamente per limitare i danni. La prima azione da compiere è un’attenta analisi dei log di accesso per individuare eventuali attività sospette, come login da dispositivi sconosciuti o da località insolite.

Successivamente, è necessario forzare l’azzeramento delle password per tutti gli account compromessi e notificare immediatamente gli utenti interessati. La trasparenza in queste situazioni è cruciale per evitare ulteriori abusi e tutelare la fiducia degli utenti.

In parallelo, è opportuno rafforzare i sistemi di monitoraggio continuo per intercettare ulteriori tentativi di attacco e aggiornare le policy di sicurezza aziendali, includendo misure specifiche contro il Credential Stuffing.

Infine, può essere utile collaborare con le autorità competenti e con gli enti di protezione dei dati per denunciare l’incidente e adottare tutte le misure previste dalla normativa, come il GDPR in Europa.

Conclusione: perché non sottovalutare il Credential Stuffing

Il Credential Stuffing è una minaccia concreta e in continua evoluzione, favorita da comportamenti digitali rischiosi e da una scarsa attenzione alla sicurezza degli account.

Nonostante la semplicità della tecnica, gli effetti di un attacco possono essere devastanti sia per i singoli utenti che per le aziende, portando a violazioni di dati, furto d’identità e danni reputazionali.

Per questo motivo, adottare un approccio proattivo alla Cyber Security, investendo in strumenti di difesa e promuovendo una cultura della protezione digitale, è oggi più importante che mai.

Domande e risposte

1. Cos’è un attacco di Credential Stuffing?
   È un attacco informatico in cui hacker utilizzano elenchi di credenziali rubate per tentare di accedere ad account su diversi servizi online.
2. Qual è la differenza tra Credential Stuffing e Brute Force?
   Nel Brute Force vengono provate combinazioni casuali di password, mentre nel Credential Stuffing vengono usate credenziali reali trafugate da precedenti violazioni.
3. Da dove provengono le credenziali usate in questi attacchi?
   Provengono da data breach e violazioni di database di piattaforme online, e vengono spesso rivendute nel dark web.
4. Come capire se si è vittima di Credential Stuffing?
   Segnali come accessi sospetti, notifiche di tentativi di login falliti o richieste di reimpostazione password non richieste possono indicare un attacco.
5. Cosa fare dopo aver scoperto un attacco di Credential Stuffing?
   Bisogna reimpostare tutte le password compromesse, abilitare l’autenticazione a due fattori e monitorare attentamente gli account.
6. Quali aziende sono più a rischio di Credential Stuffing?
   E-commerce, banche, social network e aziende che gestiscono dati sensibili sono tra i bersagli preferiti dagli hacker.
7. Come proteggere un account da questi attacchi?
   Utilizzando password uniche e complesse, attivando la MFA e affidandosi a un Password Manager.
8. Cos’è l’autenticazione a più fattori e perché aiuta?
   È un sistema che richiede un secondo metodo di verifica oltre alla password, rendendo molto più difficile l’accesso non autorizzato.
9. È sicuro usare un Password Manager?
   Sì, i Password Manager affidabili utilizzano sistemi di crittografia avanzati per proteggere le credenziali memorizzate.
10. Cosa succede ai dati rubati con il Credential Stuffing?
    Vengono utilizzati per frodi, furto d’identità o rivenduti su forum illegali del dark web.