Cos'è il credential stuffing? Tutto quello che c'è da sapere!

In questa guida rapida vengono illustrate le basi del credential stuffing, gli attacchi di credential stuffing e come prevenire un attacco di credential stuffing.

Congratulazioni per essere qui: State per portare la vostra sicurezza online a un livello completamente nuovo! Oggi imparerete tutto quello che c'è da sapere sugli attacchi di credential stuffing. Questo popolare attacco informatico consiste nell'utilizzo da parte di malintenzionati di credenziali di accesso ottenute da violazioni di dati per accedere ad altri account. Poiché le persone riutilizzano le password, si tratta di un attacco molto efficace, ma allo stesso tempo da cui potete facilmente proteggervi!


La maggior parte di noi ha creato degli account online e ha utilizzato la stessa semplice password o nome utente per alcuni di essi, se non per tutti. Probabilmente vi sarà stato detto o avvertito di creare password diverse per ogni account online che possedete e di assicurarvi che contengano maiuscole, minuscole, numeri e persino simboli. Un motivo importante per farlo è evitare di partecipare a un attacco di credential stuffing.

Che cos’è un attacco di credential stuffing?

Un attacco di credential stuffing si verifica quando gli aggressori rubano una grande quantità di credenziali di accesso da un servizio (coinvolto in una violazione dei dati) e usano le credenziali per cercare di entrare nei vostri account su altre piattaforme online. In questa guida rispondiamo a domande come “che cos’è il credential stuffing” e “che cos’è un attacco di credential stuffing”, oltre a esaminare i modi in cui potete proteggervi dal rischio di cadere vittima di un attacco di questo tipo.

Indice dei contenuti:

Il credential stuffing è un tipo di attacco informatico che si verifica quando quantità massicce di credenziali utente, come nomi utente, password e indirizzi e-mail, vengono prelevate da un set di violazione dei dati e poi utilizzate per accedere ad altri servizi utilizzando strumenti automatizzati. Ma come fanno gli hacker a invadere le vostre credenziali? Gli aggressori cercano di ottenere elenchi di password, indirizzi e-mail e nomi utente (credenziali) dalle violazioni di dati che si verificano e li utilizzano per tentare di accedere a molti altri account: questo è uno dei motivi per cui è così importante utilizzare password forti e diverse per ogni account online che si possiede. Se si utilizza la stessa password debole, come [nome1234], si rischia di cadere vittima di un attacco di credential stuffing.

Secondo un rapporto di Digital Shadows, attualmente ci sono più di 15 miliardi di credenziali rubate su Internet. La facilità e la disponibilità di massa di queste credenziali, insieme agli strumenti di credential stuffing intelligenti che utilizzano bot per superare le comuni protezioni di accesso, hanno reso il credential stuffing una delle tecniche più comuni utilizzate per ottenere l’accesso agli account degli utenti.

Come avviene un attacco di credential stuffing

  1. Gli aggressori malintenzionati ottengono password e nomi utente da un attacco di phishing, da una violazione di un sito web o da un sito di dump di password.
  2. Queste credenziali rubate vengono testate su siti web come quelli dei social media o delle banche online utilizzando bot e strumenti automatizzati.
  3. Se le credenziali corrispondono a quelle di un altro sito, l’aggressore avrà ottenuto l’accesso a un altro account utente.

Anatomy of a credential stuffing attack. Anatomy of a credential stuffing attack.

Un attacco di credential stuffing avviene quando gli aggressori ottengono l’accesso alle credenziali degli utenti da una violazione dei dati. Gli aggressori tentano quindi di accedere agli altri account degli utenti con i dati rubati.

Recenti attacchi di credential stuffing

- Norton LifeLock - Nel 2023, Norton Lifelock Password Manager ha subito un attacco di credential stuffing in cui gli aggressori hanno utilizzato credenziali rubate per accedere agli account degli utenti. Sono state prese di mira più di 925.000 persone.

- Zoom - Nel 2020, gli aggressori hanno cercato di accedere agli account degli utenti di Zoom utilizzando i dati trapelati in passato. Oltre 500.000 account Zoom sono stati compromessi in questo attacco e venduti sul dark web.

- Nintendo - Nel 2020, l’azienda globale di giochi e intrattenimento Nintendo ha subito un attacco in cui sono stati attaccati 160.000 account Nintendo.

Nel corso degli anni si sono verificate molte violazioni di dati scandalose da parte di diverse multinazionali, come LinkedIn nel 2021, Yahoo nel 2014 e nel 2017 (meglio considerare la possibilità di cancellare il proprio account Yahoo) e Facebook nel 2019 - dato che Facebook conosce così tanto di voi, questo è particolarmente grave. Se volete sapere se i vostri dati sono trapelati, potete controllare il controllo delle fughe di dati personali di Cyber News o HaveIBeenPwned.

Ma cosa può fare un aggressore una volta che è riuscito a violare il mio account?

Una volta che un aggressore ha le credenziali di accesso a un account, che potrebbero funzionare anche su un altro account, può fare una serie di cose.

- Prelevare qualsiasi valore o credito memorizzato o effettuare acquisti.

- Accedere a informazioni sensibili come messaggi privati, immagini, documenti o persino numeri di carte di credito.

- Inviare messaggi di spam e phishing dal vostro account.

- Prelevare le credenziali e venderle o scambiarle con altri aggressori.

Gli attacchi di credential stuffing sono una minaccia informatica seria, poiché aprono la strada a molti altri attacchi in cui i malintenzionati possono danneggiarvi: furto di identità, attacchi di phishing mirati o semplicemente ottenere l’accesso al vostro account PayPal o Amazon e utilizzare i vostri dati di pagamento per se stessi.

Credential stuffing vs attacco brute force: qual è la differenza?

Secondo OWASP, il credential stuffing è un sottoinsieme degli attacchi brute force, anche se in realtà l’attacco credential stuffing è molto diverso da un tradizionale attacco brute force. Durante un attacco brute force, gli aggressori tentano di indovinare le password senza avere alcun contesto o indizio precedente. Un attacco di forza bruta utilizza caratteri e numeri misti o suggerimenti di password comuni per cercare di accedere agli account. È simile, ma non uguale, al credential stuffing, in cui gli aggressori utilizzano dati reali rubati da una violazione dei dati.

Per proteggersi dagli attacchi brute force, si consiglia di utilizzare password forti, composte da caratteri maiuscoli e minuscoli, numeri e caratteri speciali. Sfortunatamente, la forza della password non ha alcun ruolo nel proteggervi da un attacco di credential stuffing: il modo migliore per evitarlo è utilizzare password diverse per ogni account che avete.

Come proteggersi da un attacco di credential stuffing

Il motivo principale per cui gli attacchi di credential stuffing hanno successo è che gli utenti hanno le stesse password per più account: questo è il momento di aggiornare le password! Per fortuna abbiamo una guida su come creare e ricordare password forti.

Uno dei modi più semplici per aggiornare tutte le password con password uniche e forti è utilizzare un gestore di password che abbia anche un generatore di password integrato, come KeePassXC. In questo modo, tutte le vostre password saranno memorizzate in modo sicuro e dovrete solo ricordare il login al gestore di password per accedere a tutte le vostre credenziali. L’uso dei gestori di password ha due facce della medaglia, come ha dimostrato l’attacco di credential stuffing a Norton Lifelock Password Manager: Se il gestore di password ha una falla o subisce una violazione dei dati, tutte le password memorizzate potrebbero essere vittime di un attacco di credential stuffing. Per questo motivo è fondamentale utilizzare solo un gestore di password che utilizzi la crittografia per proteggere le password e che abbia il suo codice pubblicato come open source, come Bitwarden o KeePass. Se scegliete una delle nostre migliori password consigliate qui sopra, la probabilità che le vostre password memorizzate subiscano una violazione dei dati è prossima allo zero: Queste applicazioni proteggono le vostre password con la vostra chiave di crittografia; quindi, solo voi potete decifrarle. Anche in caso di violazione dei dati, l’aggressore non sarà in grado di sottrarre le vostre password.

In conclusione, per evitare di cadere vittima di un attacco di credential stuffing, è necessario disporre di password diverse, uniche e forti per ogni account.

Non cadete vittime di un’altra violazione dei dati di Yahoo!

Se siete utenti della posta elettronica di Yahoo! è molto probabile che siate stati coinvolti in una violazione dei dati. Nel 2013 si è verificata una massiccia violazione dei dati che ha interessato tutti i 3 miliardi di account degli utenti, seguita da un’altra violazione nel 2014 in cui sono stati compromessi più di 500 milioni di account degli utenti di Yahoo! È ora di abbandonare Yahoo! e di optare per un’alternativa attenta alla privacy come Tuta Mail.

Se volete eliminare il vostro account Yahoo! ecco una guida passo passo su come eliminare il vostro account Yahoo! e se volete passare a un provider di posta elettronica incentrato sulla privacy che non sia stato coinvolto in una violazione dei dati, vi consigliamo Tuta Mail. Scoprite il confronto tra Tuta Mail e Yahoo! Mail consultando la nostra guida Yahoo vs Tuta Mail.

Nel mondo online di oggi, la privacy sta diventando sempre più difficile e fuori portata per gli utenti del web. Volete creare un nuovo account e-mail con Gmail? O comprare una camicia online? Beh, prima dovrete fornire una lista di informazioni private! Non è così che dovrebbe essere Internet.

Purtroppo, le grandi aziende tecnologiche come Microsoft, Google e Meta sono così affamate di potere, denaro e dati che raccolgono le vostre informazioni private, vi tracciano attraverso le loro applicazioni e vendono i vostri dati agli inserzionisti per ottenere profitti. In cambio, gli utenti vengono indirizzati alla pubblicità e non godono della privacy che meritano. Una grande preoccupazione è che per utilizzare questi diversi servizi online è sempre necessario fornire i propri dati privati, come il numero di cellulare o l’indirizzo e-mail. Per questo motivo, se uno di questi servizi viene coinvolto in una violazione dei dati, è molto probabile che le vostre informazioni private non siano più così private!

Vi consigliamo di passare a un provider di posta elettronica attento alla privacy, come Tuta Mail, che non richiede informazioni private al momento della creazione dell’account. Con Tuta Mail potete iscrivervi in modo anonimo, è gratuito e l’intera casella di posta elettronica è crittografata Ende-zu-Ende.

Tuta è un servizio di posta elettronica e calendario costruito in Germania, in conformità alle severe leggi GDPR dell’UE. Ma oltre a questo, Tuta è completamente open source e aderisce a rigorosi protocolli di privacy e sicurezza. Tuta Mail è un leader in termini di privacy e sicurezza delle e-mail, se non il provider di e-mail più sicuro al mondo.

Registrate oggi stessoil vostro account Tuta Mail gratuito, per godere della privacy online che meritate.