Il cyber-furto sta diventando la rovina della vita moderna.
Allora, cos’è il credential stuffing e come puoi ridurre il rischio che ciò accada a te?
Riutilizzare gli stessi dettagli di accesso
Il credential stuffing è un tipo di attacco informatico in cui gli hacker utilizzano nomi utente e password rubati per ottenere l’accesso non autorizzato ad altri account online.
In altre parole, rubano una serie di dettagli di accesso per un sito e lo provano su un altro sito per vedere se funziona anche lì.
Ciò è possibile perché molte persone utilizzano la stessa combinazione di nome utente e password su più siti web.
È normale che le persone utilizzino la stessa password per più account (anche se questo è molto rischioso).
Alcuni addirittura usano la stessa password per tutti i loro account. Ciò significa che se un account viene compromesso, gli hacker possono potenzialmente accedere a molti (o tutti) gli altri account con le stesse credenziali.
Attacchi di “forza bruta”.
Gli hacker acquistano grandi quantità di credenziali di accesso (ottenute da precedenti violazioni dei dati) sul “dark web”.
Quindi utilizzano strumenti automatizzati chiamati “bot” per eseguire attacchi di credential stuffing. Questi strumenti possono essere acquistati anche sul dark web.
I bot sono programmi che eseguono attività su Internet in modo molto più veloce ed efficiente di quanto possano fare gli esseri umani.
In quello che viene coloritamente definito un attacco di “forza bruta”, gli hacker utilizzano i bot per testare milioni di combinazioni di nome utente e password su diversi siti Web finché non trovano una corrispondenza. È più facile e veloce di quanto molti credano.
Succede più spesso perché la barriera all’ingresso per gli aspiranti criminali informatici non è mai stata così bassa. Il dark web è facilmente accessibile e le risorse necessarie per lanciare attacchi sono a disposizione di chiunque abbia criptovaluta da spendere e la volontà di passare al lato oscuro.
Come puoi proteggerti dal credential stuffing?
Il modo migliore è non riutilizzare mai le password su più siti o app. Utilizza sempre una password unica e complessa per ciascun account online.
Scegli una password o una passphrase lunga almeno 12 caratteri, complessa e difficile da indovinare. Dovrebbe includere un mix di lettere maiuscole e minuscole, numeri e simboli. Non utilizzare nomi di animali domestici, compleanni o qualsiasi altra cosa che puoi trovare sui social media.
Puoi utilizzare un gestore di password per generare password univoche per tutti i tuoi account e archiviarle in modo sicuro. Questi utilizzano una crittografia avanzata e sono generalmente considerati abbastanza sicuri.
Un altro modo per proteggerti dal credential stuffing è abilitare l’autenticazione a due fattori (2FA) per i tuoi account online.
L’autenticazione a due fattori è una funzionalità di sicurezza che richiede l’inserimento di un codice o l’utilizzo di un dispositivo oltre alla password quando accedi.
Ciò aggiunge un ulteriore livello di protezione nel caso in cui la tua password venga rubata. Puoi utilizzare un’app, un messaggio di testo o un dispositivo hardware (come una piccola “chiave” da collegare a un computer) per ricevere il codice di autenticazione a due fattori.
Monitora regolarmente i tuoi account online per cercare eventuali attività sospette. Puoi anche verificare se la tua email o la tua password sono state esposte a una violazione dei dati utilizzando il sito web Have I Been Pwned.
Potresti rimanere sorpreso da ciò che vedi. Se scopri i tuoi dettagli di accesso lì, usalo come avviso tempestivo per modificare le tue password il prima possibile.
Vigilanza eterna
Nel mondo odierno in cui la criminalità informatica è in aumento, la migliore difesa contro il credential stuffing e altre forme di hacking è la vigilanza. Sii proattivo e non compiacente riguardo alla sicurezza online.
Utilizza password univoche e un gestore di password, abilita l’autenticazione a due fattori, monitora i tuoi account e controlla i siti di notifica delle violazioni (come Have I Been Pwned).
Non lasciare che le tue credenziali diventino un’altra statistica. Mentre stai leggendo questo articolo, i criminali stanno escogitando nuovi modi per sfruttare le nostre vulnerabilità.
Adottando una buona igiene digitale e misure di sicurezza efficaci, possiamo riprendere il controllo delle nostre identità online.
