Identità digitale sotto attacco delle cyberminacce. Secondo la ricerca di F5 Labs infatti il 19,4% delle richieste di autenticazione è il risultato di attacchi di “credential stuffing”. La lotta della sicurezza informatica si sta concentrando sull’identità digitale, con un quinto delle richieste di autenticazione provenienti da sistemi automatizzati dannosi. “2023 Identity Threat Report: The Unpatchables” ha analizzato 320 miliardi di transazioni di dati avvenute nei sistemi di 159 organizzazioni tra marzo 2022 e aprile 2023.
Cyberminacce, identità digitale sotto attacco
In assenza di mitigazioni, il tasso medio di automazione, un chiaro indicatore di attacchi di credential stuffing, era del 19,4%. Tuttavia, quando il traffico dannoso viene mitigato in modo proattivo, questo tasso si riduce di oltre due terzi, scendendo al 6%. Gli attacchi di credential stuffing prevedono che i malintenzionati sfruttino nomi utente e password rubati da un sistema per violarne altri. Questo tipo di attacco sfrutta strumenti automatizzati che consentono agli aggressori di massimizzare il numero di tentativi.
Un fenomeno in crescita
Sander Vinberg, Threat Research Evangelist degli F5 Labs
Le identità digitali sono da tempo nel mirino degli aggressori. La minaccia sta crescendo con l’ascesa della identità non umane. La nostra ricerca mette in luce il livello di attacco che le identità digitali stanno subendo. Inoltre l’importanza di mettere in atto una mitigazione e contromisure efficaci. È significativo notare come l’uso dell’automazione dannosa diminuisca rapidamente quando sono attive le protezioni. Costringendo gli aggressori a rinunciare in cerca di obiettivi più vulnerabili.
Mitigazioni: un confronto prima e dopo
Una parte fondamentale dello studio si è concentrato sull’effetto delle misure di mitigazione sugli attacchi di “credential stuffing”. È emerso infatti che queste contromisure tendevano a modificare il comportamento degli aggressor. Portando a una significativa diminuzione nell’impiego di automazione dannosa. Gli F5 Labs hanno rilevato che, senza mitigazioni, gli attacchi erano maggiormente mirati contro gli endpoint mobili piuttosto che a quelli web. Tuttavia, dopo l’introduzione delle mitigazioni, si è osservato un calo maggiore degli attacchi diretti ai dispositivi mobili. La maggior parte degli attacchi successivi hanno preso di mira gli endpoint web.
L’identità digitale e le misure di mitigazione
Le mitigazioni adottate hanno influito anche sul livello di sofisticazione degli attacchi. Contro gli endpoint di autenticazione non protetti, il 64,5% del traffico dannoso comprendeva attacchi classificati come “base”. Questo significa nessun tentativo di emulare il comportamento umano o di contrastare la difese contro i bot. Dopo l’introduzione delle misure di mitigazione, la percentuale di questi attacchi è scesa al 44%.
Gli attacchi intermedi
Al contrario, gli attacchi definiti “intermedi” sono diventati molto più diffusi con la mitigazione. Gli attacchi più sofisticati, che impiegano strumenti in grado di simulare con precisione l’interazione umana, come i movimenti del mouse, la pressione dei tasti e le dimensioni dello schermo, sono aumentati dal 20% al 23%.
Attivare le protezioni
Sander Vinberg
La nostra analisi evidenzia che molti aggressori desistono quando vengono attivate le protezioni. Coloro che perseverano nell’attaccare un sistema con protezioni attive dimostrano un maggiore impegno e sofisticazione. Utilizzando strumenti che consentono loro di imitare fedelmente il comportamento umano o di investire maggiori sforzi nel mascherare le loro azioni.
Ad esempio, abbiamo osservato un attacco che ha simulato 513.000 interazioni univoche da parte di utenti su 516.000 richieste. Riciclando caratteristiche identificabili in meno dell’1% dei casi. Con gli attacchi più sofisticati, a volte è richiesta un’analisi manuale per individuare il comportamento dannoso e creare nuove firme di riconoscimento.
Identità digitale, le sfide per i difensori aumentano
Gli F5 Labs hanno investigato anche sulle fonti (supply chain) delle credenziali compromesse. Un punto allarmante è che sembra che i difensori abbiano una visibilità molto più limitata di quanto inizialmente previsto. Infatti, ben il 75% delle credenziali utilizzate durante gli attacchi non risultavano essere state precedentemente identificate come compromesse. In aggiunta, i difensori si trovano a dover affrontare minacce all’identità specificamente progettate per eludere le contromisure.
Cosa sono gli “account canarini”
Tuttavia, lo studio ha evidenziato che gli aggressori si sono adattati a questa situazione introducendo gli “account canarini”. Questi account vengono continuamente presi di mira per aumentare artificialmente il tasso di successo complessivo. In un caso specifico, durante una campagna di credential stuffing, lo stesso account canarino è stato acceduto 37 milioni di volte nella stessa settimana per questo preciso scopo.
Attacchi di phishing
Relativamente agli attacchi di phishing, un’altra area su cui si è concentrata l’analisi degli F5 Labs, emerge nuovamente una chiara indicazione dell’aumento degli sforzi nell’eludere le difese. In particolare, la crescente adozione dell’autenticazione a più fattori sta alimentando la diffusione del “reverse proxy phishing” Qui gli aggressori creano pagine di login fasulle per indurre gli utenti a inserire le proprie credenziali.
Nuove minacce all’orizzonte per l’identità digitale
In un contesto di ambienti in continua evoluzione, gli F5 Labs hanno individuato l’emergere di una nuova generazione di minacce. Ad esempio, nell’agosto del 2022 è stato rilevato un annuncio sul Dark Web che promuoveva un sistema di phishing vocale. Esso utilizzava l’intelligenza artificiale per automatizzare le chiamate di phishing. La crescente sofisticazione e la diminuzione dei costi nell’ambito dell’AI contirbuiscono a rendere queste tecniche sempre più diffuse ed efficaci nel tempo.
Ci sono le soluzione anti-bot
Sander Vinberg
In prospettiva, gli identity provider dovrebbero impiegare una soluzione anti-bot per mitigare l’automazione dannosa, ad esempio nel caso del credential stuffing. Anche soluzioni anti-bot semplici possono mitigare la maggior parte degli attacchi di credential stuffing non sofisticati. Le organizzazioni possono rafforzare ulteriormente le loro difese ricorrendo a soluzioni MFA (Multi-Factor Authentication) basate sulla crittografia, come quelle adottate nei protocolli WebAuthn o FIDO2.
In ultima analisi, non esiste una soluzione miracolosa per contrastare gli attacchi basati sull’identità. I difensori devono monitorare e rilevare gli attacchi, quantificare il tasso di errore del loro rilevamento e adattarsi di conseguenza. Più approfondiamo lo studio di tali attacchi e della loro continua evoluzione, meglio saremo in grado di gestire il rischio di vulnerabilità intrinseco a qualsiasi sistema richiedente l’autenticazione dell’utente.
