Le tue credenziali rubate da un sito vengono usate per entrare ovunque. L'attacco piu silenzioso e sottovalutato.
Il credential stuffing e un attacco automatizzato in cui i criminali prendono liste di email e password rubate da data breach precedenti e le provano su altri servizi. L'idea e semplice: se usi la stessa password su piu siti, basta che uno venga violato per compromettere tutti gli altri.
Non parliamo di un hacker che prova password a mano. Parliamo di bot che testano milioni di combinazioni al giorno, in modo completamente automatico, su decine di servizi diversi: webmail, VPN aziendali, portali clienti, CRM, e-commerce.
Perche funziona cosi bene? Perche il 65% delle persone riutilizza la stessa password su piu account. E le email aziendali sono spesso il primo bersaglio, perche da li si accede a tutto il resto: reset password, documenti riservati, comunicazioni interne.
Usa credenziali reali gia rubate. Ogni tentativo ha una combinazione email+password che funzionava da qualche altra parte. Tasso di successo: 0,1-2%.
Prova tutte le combinazioni possibili di password. Molto piu lento e rumoroso. Il credential stuffing e piu efficace perche usa password reali.
Prova poche password comuni (es: “Password123”) su molti account. A differenza del credential stuffing, non servono database di credenziali rubate.
Il risultato del credential stuffing: il criminale prende il controllo dell'account. Da li puo inviare phishing ai contatti della vittima.
Ecco cosa succede dietro le quinte, passo dopo passo:
L'attaccante acquista o scarica database di credenziali rubate da data breach pubblici. Nel dark web circolano miliardi di combinazioni email+password. Alcune costano meno di un caffe.
Strumenti come Sentry MBA, OpenBullet o STORM vengono configurati con la lista di credenziali e i siti bersaglio. I bot ruotano indirizzi IP tramite proxy per evitare di essere bloccati.
I bot testano migliaia di credenziali al minuto. Quando trovano una combinazione valida, la segnalano all'attaccante. L'operazione e completamente automatica e silenziosa.
Con l'accesso alla casella email, l'attaccante puo leggere le comunicazioni aziendali, impostare regole di inoltro invisibili, inviare email di BEC ai colleghi e clienti, o usare l'account compromesso per attacchi piu sofisticati.
Il credential stuffing colpisce qualsiasi servizio online, ma le caselle email aziendali sono il bersaglio piu ambito. Ecco perche:
dei data breach coinvolge credenziali email rubate o riutilizzate
di credenziali rubate circolano nel dark web (fonte: Digital Shadows)
delle persone usa la stessa password per piu account
L'email aziendale e la chiave di tutto: se un criminale entra nella tua casella, puo resettare le password di qualsiasi altro servizio, accedere a documenti riservati e impersonarti con colleghi e clienti. Calcola il rischio con il nostro Calcolatore Costo Attacco.
Il credential stuffing inizia quasi sempre con un'email: il phishing che ruba le credenziali in primo luogo, o l'email compromessa che viene usata per attacchi successivi. MailSniper interviene su entrambi i fronti:
Scopri di piu sulla nostra protezione anti-phishing e su come MailSniper blocca le email che rubano credenziali.