Gli attacchi di credential stuffing attraverso “bot” stanno aumentando, sia in termini di volume, che di gravità: le aziende subiscono in media 11 attacchi al mese, per una media di 1.041 account. Un danno che in soldoni vale 4 milioni di dollari l’anno. Questi i dati che emergono da uno studio a firma del Ponemon Insitute per Akamai.
Downtime delle applicazioni, perdita di clienti e coinvolgimento dell’infrastruttura di sicurezza le tre principali evidenze: il costo annuale medio per azienda, per le tre tipologie appena elencate vale 1,2 milioni, 1,6 milioni e 1,2 milioni di dollari, oltre ai costi diretti correlati alle frodi.
Credential stuffing, che cos’è e come funziona
Il credential stuffing fa leva sulla probabilità che le persone possano utilizzare lo stesso nome utente e la stessa password per accedere a più applicazioni, siti e servizi. I cybercriminali acquisiscono i dettagli degli account rubati da una piattaforma e implementano i bot necessari per accedere a molti altri account con le stesse credenziali. Una volta trovato il modo di accedere, i criminali violeranno l’account, effettuando acquisti fraudolenti o sottraendo informazioni riservate, fino a quando il relativo proprietario non se ne accorgerà”, si legge nel report.
La maggior parte delle organizzazioni –si legge nel report – ha una superficie di attacco abbastanza complessa per quel che riguarda l’abuso di credenziali. Le aziende hanno mediamente 26,5 siti web accessibili dai loro clienti, esponendo quindi altrettanti punti di accesso per un attacco effettuato con bot. E la situazione si complica ulteriormente dalla necessità delle aziende di fornire credenziali di accesso a diversi tipi di clienti, che comprendono accessi da desktop o portatili (87%), da browser web mobili (65%), da terze parti (40%) e da app mobile (36%). Solo un terzo delle aziende afferma di avere una buona visibilità sugli attacchi di credential stuffing (35%) e sempre solo un terzo riesce a individuare e risolvere rapidamente gli attacchi contro i propri siti web (36%).
Le organizzazioni sono impegnate nell’identificazione degli impostori e la maggior parte degli intervistati concorda sul fatto che sia difficile distinguere i veri dipendenti e clienti, da intrusi malintenzionati (88%). La sfida viene inoltre complicata dalla mancanza di chiarezza in fatto di responsabilità all’interno dell’azienda, con oltre un terzo degli intervistati che afferma che nessun ruolo è responsabile dell’identificazione e della prevenzione degli attacchi di credential stuffing (37%).