Una ricerca di Akamai svela il costo reale del credential stuffing. I bot che violano gli account online costano alle aziende 4 milioni di dollari l’anno.
È questo il drammatico risultato della ricerca condotta da Akamai; un dato oggettivamente molto preoccupante.
Il credential stuffing fa leva sulla probabilità che le persone possano utilizzare lo stesso nome utente e la stessa password per accedere a più applicazioni, siti e servizi. I cybercriminali acquisiscono i dettagli degli account rubati da una piattaforma e implementano i bot necessari per accedere a molti altri account con le stesse credenziali. Una volta trovato il modo di accedere, i criminali violeranno l’account, effettuando acquisti fraudolenti o sottraendo informazioni riservate, fino a quando il relativo proprietario non se ne accorgerà.
La ricerca, effettuata dal Ponemon Institute, ha rivelato che gli attacchi di credential stuffing stanno aumentando, sia in termini di volume, che di gravità, e che le aziende ora subiscono in media 11 attacchi di credential stuffing al mese. Ogni attacco prende di mira una media di 1.041 account e può comportare costosi downtime delle applicazioni, perdita di clienti e coinvolgimento dell’infrastruttura di sicurezza. Tutto ciò comporta un costo annuale medio per azienda, per le tre tipologie appena elencate, rispettivamente, di 1,2 milioni, 1,6 milioni e 1,2 milioni di dollari, oltre ai costi diretti correlati alle frodi.
Jay Coley, Senior Director -Security Planning and Strategy di Akamai Technologies.
I cybercriminali utilizzano sempre di più le botnet per convalidare questi elenchi nelle pagine di accesso di altri siti e portali, ampliando notevolmente l’impatto di una singola violazione. È evidente che le aziende devono essere consapevoli di questa pratica e proteggere i propri clienti e dipendenti, ma devono anche proteggere i propri profitti. I siti oggi sono entità complesse che possono includere centinaia o migliaia di pagine web e supportare numerose tipologie di client e di traffico. È essenziale che le aziende comprendano l’architettura del proprio sito web e le modalità con le quali i clienti passano dalle varie pagine ai propri endpoint di accesso, per mitigare al meglio gli attacchi di credential stuffing e tenere sotto controllo i costi.
La ricerca ha sottolineato che le aziende hanno mediamente 26,5 siti web accessibili dai loro clienti, esponendo quindi altrettanti punti di accesso per un attacco effettuato con bot.
Le organizzazioni sono impegnate nell’identificazione degli impostori e la maggior parte degli intervistati concorda sul fatto che sia difficile distinguere i veri dipendenti e clienti, da intrusi malintenzionati (88%). Questa sfida viene inoltre complicata dalla mancanza di chiarezza in fatto di responsabilità all’interno dell’azienda, con oltre un terzo degli intervistati che afferma che nessun ruolo è responsabile dell’identificazione e della prevenzione degli attacchi di credential stuffing (37%).
Jay Coley
Il modo migliore per battere un bot è trattarlo per ciò che è: non umano. La maggior parte dei bot si comporta come una persona reale, ma i loro metodi stanno diventando sempre più sofisticati. È per questo motivo che le aziende hanno bisogno di strumenti di gestione dei bot tali da monitorare i comportamenti e distinguere i bot da autentici tentativi di login. Al contrario dei sistemi di accesso standard, che si limitano a verificare la corrispondenza di un nome utente e una password, le aziende devono verificare gli schemi di pressione dei tasti, i movimenti del mouse e, persino, l’orientamento di un dispositivo mobile. Con costi di recovery che si aggirano potenzialmente nell’ordine dei milioni, l’urgenza di identificare e frenare questi bot non è mai stata così incombente.