Skip to content

Previeni gli attacchi di riempimento delle credenziali analizzando il costo dell’attacco

Tutte le aziende sono guidate da un’analisi costi-benefici del proprio lavoro. Lo stesso vale per i truffatori online motivati ​​dal denaro. Per essere redditizi, i criminali informatici devono sviluppare sistemi che generino più denaro di quanto spendono per eseguire gli attacchi.

Circa l’autore

Carlos Asuncion, Direttore di Solutions Engineering, Shape Security presso F5.

Ci sono due fattori chiave che influenzano questo calcolo: i costi operativi e il mutevole panorama della sicurezza informatica. E i costi stanno diminuendo rapidamente, il che significa che gli hacker possono spendere poche centinaia di dollari per eseguire attacchi che possono portare a milioni di dollari.

Di conseguenza, vediamo che il riempimento delle credenziali sta diventando un metodo di frode online sempre più diffuso e diffuso. In effetti, la ricerca di F5 Labs e Shape Security ha recentemente riferito che gli incidenti di Credential Spill sono quasi raddoppiati rispetto al 201

Nel riempimento delle credenziali, gli hacker acquisiscono nomi utente e password a prezzi estremamente bassi (a volte gratuiti) da fonti facilmente accessibili. Quindi utilizzano software personalizzato o standard per automatizzare il processo di registrazione per milioni di account utente su centinaia di siti Web.

Lo fanno nella speranza che la password di Facebook di qualcuno, ad esempio, possa fungere da accesso al proprio account di provider di servizi Internet o addirittura al proprio conto bancario. Il traffico è distribuito in tutto il mondo per evitare sospetti e, con un altro piccolo investimento, gli hacker possono anche superare le misure di difesa automatizzate di base come il test CAPTCHA (Complely Automated Public Turing) esternalizzando plug-in o servizi per la risoluzione di CAPTCHA.

In Shape Security, stimiamo che il costo di 100.000 tentativi di dirottamento dell’account sia di circa $ 200, inclusi il software richiesto, i proxy di rete e le credenziali rubate. Le percentuali di successo sono generalmente comprese tra 0,2 e 2%. Le acquisizioni di successo vengono poi vendute su vari forum e mercati tra $ 2 e $ 150, il che equivale a un ritorno tra il 100 e il 150.000% o anche di più. Ciò si traduce in un ritorno finanziario compreso tra $ 200 e $ 300.000.

Sfortunatamente, molte organizzazioni si concentrano ancora molto sulla difesa dagli attacchi dei bot utilizzando indirizzi IP o il blocco delle stringhe user-agent, che sta rapidamente diventando un gioco spaventoso e inutile di whack-a-mole. Invece, l’obiettivo dovrebbe essere quello di rimuovere la proposta di valore dell’avversario per attaccare le tue proprietà digitali.

Per le aziende, questo significa potenziare le proprie difese al punto che è troppo costoso per gli hacker batterle. Un vero criminale mira sempre a una finestra aperta piuttosto che acquistare strumenti costosi per forzare la serratura di una porta solida. Le stesse regole si applicano alle proprietà virtuali.

La migliore pratica consiste nell’adottare una serie di misure che costringeranno i truffatori a tornare nelle fasi più costose dei loro attacchi. Se ciò accade troppo spesso, l’analisi costi-benefici si discosta e lo sforzo alla fine supera il potenziale rendimento. David Bianco ha introdotto un concetto chiamato Pyramid of Pain nel 2013 e si applica quando si tratta di respingere attacchi di riempimento delle credenziali con efficacia a lungo termine.

Essere coinvolti in Whack-a-Mole con indirizzi IP e stringhe user-agent che sono alla base della piramide è inutile. Meglio concentrare gli sforzi più in alto nella piramide e indebolire gli strumenti e i TTP (tattiche, tecniche e procedure) dei truffatori. In altre parole, continua a frustrare il tuo avversario e costringerlo ad andare altrove.

Per farlo bene, devi scoprire quanto costa effettivamente attaccare le tue proprietà web e mobile. Se non sai quanto costa, non sai che tipo di frizione e divieto usare. Dopo averlo fatto, è il momento di avviare un piano in tre punti.

Innanzitutto, correggi eventuali vulnerabilità rivedendo l’utilizzo della rete per rimuovere qualsiasi frutto basso. Questo crea una barriera minima che gli aggressori devono superare. Ad esempio, analizza le pagine di autenticazione della tua applicazione web e assicurati di non fornire feedback non necessari che potrebbero essere utili ai truffatori. Le pagine di reimpostazione della password sono un esempio comune qui.

Dire qualcosa come “Spiacenti, l’account non esiste, per favore riprova” aiuta effettivamente i truffatori. Indica loro quali account sul tuo sito Web sono validi e quali no, migliorando così l’accuratezza e l’efficienza dei successivi attacchi di riempimento delle credenziali. Una risposta migliore sarebbe: “Abbiamo ricevuto la tua richiesta di reimpostazione della password. Se questo account esiste, ti verrà inviata un’e-mail di reimpostazione della password.

Successivamente, penetra nelle app Web e mobili della tua azienda per capire quanto sia facile o difficile comprometterle per commettere frodi. Questo processo dovrebbe essere basato su prove e non sull’istinto. Ti aiuterà a creare una cassetta degli attrezzi per le contromisure che rifletterà i probabili tentativi di vanificare le tue misure di sicurezza.

Ricorda che i pali della porta sono sempre in movimento. Gli strumenti a disposizione dei criminali migliorano di giorno in giorno. Pertanto, il terzo passaggio consiste nell’aggiornare e aggiornare regolarmente i controlli di sicurezza per stare al passo con il panorama dei rischi in continua evoluzione. Ciò può includere gli analisti della sicurezza (interni o contrattuali) che indossano i loro cappelli rossi per rimanere informati sugli ultimi vettori e strumenti di attacco discussi sul dark web e sui forum di frode. I bug bounty possono anche essere una soluzione per identificare le lacune nel controllo o per trovare nuovi modi per aggirare i controlli esistenti prima che i truffatori possano trovarli e abusarne.

Ricorda che il riempimento delle credenziali è economico e facile, quindi è molto utile per i truffatori che intascano milioni di crimini ogni anno. Non renderlo facile per loro!

Leave a Reply

Your email address will not be published. Required fields are marked *