Sempre più spesso capita che i nostri profili su social network e siti più o meno noti vengano violati da qualche hacker e che le nostre informazioni personali vengano messe a rischio. Sarà capitato anche a te, almeno una volta, di ricevere un avviso da Twitter (giusto per fare un esempio) che ti avverte di un accesso al tuo profilo eseguito da un nuovo dispositivo nelle Filippine o in qualche altro Paese del mondo lontanissimo da te. E dove tu, naturalmente, non sei mai stato.
Eppure, nella stragrande maggioranza dei casi, la colpa di tutto ciò non è né di Twitter né degli altri servizi all'interno dei quali gli hacker riescono a fare il login con le tue credenziali. La colpa, invece, è del "credential stuffing".
Cos'è il credential stuffing
Ciò vuol dire che, effettivamente, Twitter (per restare al caso in esempio) non è stato affatto violato: l'hacker che ha fatto l'accesso con i tuoi dati ha trovato il tuo nome utente e password altrove. Nella gran parte dei casi lo ha trovato in un database contente centinaia di migliaia, se non milioni, di combinazioni di user name e password raccolte violando altri siti in passato. Il fatto che usando quei vecchi dati l'hacker riesca ad entrare nei tuoi profili dipende solo da te e dal fatto che usi la stessa combinazione di nome utente e password per più siti. Una pratica, a dire il vero, diffusissima sul Web e proprio questo è il motivo per cui il credential stuffing è una attività che secondo gli hacker vale la pena di portare avanti.
Dove si trovano i dati per fare credential stuffing
Questi enormi database di dati di login si vendono, ovviamente sul Dark Web. Tra gennaio e febbraio 2019, ad esempio, su Dream Market (uno dei tantissimi market place del Web oscuro) è stata messa in vendita una collezione da 841 milioni di record contenenti credenziali d'accesso. Era in vendita in tre tranches: la prima costava 20mila dollari, la seconda 14.500 dollari e la terza 9.350 dollari. Da pagare in Bitcoin, ovviamente. Di database del genere ne vengono messi in vendita in continuazione, con prezzi più o meno alti in base alla loro "freschezza": dati appena rubati valgono infatti molto di più di dati rubati mesi o anni fa. Anche per questo, sempre nei mesi scorsi, è successa una cosa molto interessante: alcuni hacker hanno diffuso gratis tramite Torrent una gigantesca raccolta da 2,2 miliardi di combinazioni di nome utente e password. Erano dati vecchi e senza alcun valore, ma ancora buoni per fare credential stuffing.
Come si fa il credential stuffing
Come potrai ben immaginare, nessun hacker si metterà mai a provare manualmente due miliardi di combinazioni su decine, anzi centinaia, di siti differenti. Lo fa in modo automatizzato. Sempre sul Dark Web, infatti, si trovano anche appositi tool per automatizzare il credential stuffing. Alcuni di questi strumenti sono così raffinati da includere anche un generatore di CAPTCHA e da simulare i tentativi d'accesso da diversi indirizzi IP, tra l'altro in modo scaglionato nel tempo per evitare di mettere in allerta i meccanismi di sicurezza dei server dei servizi ai quali tentano di accedere. Tramite questi stratagemmi, quindi, gli hacker riescono a indirizzare milioni di tentativi facendoli sembrare reali accessi da parte di esseri umani.
Quanto rende il credential stuffing
Ogni attività criminale, credential stuffing compreso, ha il suo rapporto costi/benefici. Gli strumenti per fare questa attività si trovano a buon prezzo sul Dark Web, mentre i dati per fare credential stuffing hanno un prezzo che dipende da quanto sono freschi. Ma in ogni caso la percentuale di successo è molto bassa: raramente (cioè nei casi in cui l'hacker ha trovato un database buono) si riesce a raggiungere il 2% dei profili "che entrano" provando milioni di combinazioni. Va anche detto che violare un profilo non porta sempre ad un guadagno: una cosa è violare una carta di credito o un conto corrente, che possono essere ripuliti, un'altra è violare un indirizzo e-mail che al massimo ti permette di fare un po' di spam o di far circolare qualche virus.
Come difendersi dal credential stuffing
Dopo tutto quel che abbiamo detto una cosa è chiara: se tutti noi usassimo un nome utente e una password diversi per ogni sito in cui ci registriamo, allora il credential stuffing nemmeno esisterebbe. Il gioco consiste proprio nell'usare le credenziali per il sito A anche nel sito B, C, D, etc etc. Il primo modo (in realtà l'unico) per difendersi da questa attività criminale è quindi quello di variare il più possibile le nostre credenziali di accesso e non registrarsi mai ad un nuovo sito con user name e password già usate altrove. È chiaro che, con tutti i siti che oggi ci chiedono di registrarci, la cosa può diventare quanto meno scomoda. Ma la soluzione c'è: un buon password manager ci permette di scegliere un nuovo nome utente e una nuova password per ogni sito e, subito dopo, di dimenticarcela. Se quel singolo sito verrà un giorno violato, però, non avremo regalato agli hacker l'accesso anche ad altri nostri profili.
Sei sicuro di proteggere davvero i tuoi dati e i tuoi dispositivi connessi online? Scarica il nostro ebook gratuito per conoscere i trucchi e i consigli per aumentare la tua sicurezza in rete.