• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Camst group aggiorna e migra il suo ERP sul cloud di SAP
    • La sicurezza aziendale dipende dalla user experience
    • Bancomat rafforza le relazioni con i clienti insieme a Salesforce
    • Gamaredon intensifica le campagne contro l’Ucraina
    • Sicurezza informatica e privacy nell’era dell’AI
    • Manutenzione delle infrastrutture digitali ai tempi dell’AI
    • Come proteggere il copyright e rafforzare il brand delle immagini digitali: consigli per fotografi, designer e piccole imprese
    • Nasce Rai Way Cloud Object Storage: una partnership con Cubbit per offrire nuovi servizi edge-to-cloud in tutta Italia
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Truffatori online: il ritorno economico di un attacco hacker

    Truffatori online: il ritorno economico di un attacco hacker

    By Redazione LineaEDP16/04/2021Updated:16/04/20216 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Anche i truffatori online devono fare i conti e valutare i costi e i benefici di ogni attacco hacher. Un metodo sempre più diffuso nelle frodi online è il credential stuffing.

    truffatori online

    Tutte le aziende sono guidate dall’analisi costi-benefici, un principio che vale anche per i truffatori online, sempre fortemente motivati dal guadagno. Per operare in modo redditizio hanno bisogno di escogitare sistemi che li portino a ottenere più denaro di quanto ne spendano per condurre i propri attacchi.

    Ci sono due fattori chiave che influenzano questo conteggio: il costo delle operazioni e i cambiamenti nel panorama della sicurezza. Da entrambi i punti di vista i costi stanno diminuendo rapidamente, il che significa che oggi i truffatori online, investendo solo qualche centinaio di euro, possono lanciare attacchi che potenzialmente li porteranno a guadagnarne milioni.

    Una delle conseguenze di questa analisi economica è il forte incremento del credential stuffing, un metodo sempre più popolare e diffuso nelle frodi online, come conferma una recente ricerca condotta dagli F5 Labs e Shape Security che attesta che gli incidenti di sottrazione delle credenziali sono quasi raddoppiati dal 2016 al 2020.

    Il credential stuffing implica che i truffatori online comprino da fonti di facile accesso username e password a prezzi bassissimi (e che a volte addirittura li ottengano gratuitamente) e attraverso un software, personalizzato o standard, automatizzino il processo di accesso a milioni di account su centinaia di siti Web. Lo fanno sperando che, ad esempio, la password di Facebook di qualcuno sia utilizzata anche per il login al conto in banca o per l’account del provider dei servizi Internet. Il traffico viene poi distribuito a livello globale per evitare sospetti e, facendo un ulteriore piccolo investimento, gli hacker possono anche sconfiggere le difese automatiche di base come il test CAPTCHA (Completely Automated Public Turing) esternalizzando a plug-in o servizi che risolvono i CAPTCHA.

    Shape Security ha stimato che il costo per acquistare 100.000 tentativi di acquisizione dell’account ammonti a circa 200 dollari, e includa anche il software necessario, i proxy di rete e le credenziali rubate. Le percentuali di successo variano in genere dallo 0,2 al 2%. I dati acquisiti con successo dai truffatori online vengono poi venduti su vari forum e marketplace per un valore compreso tra 2 e 150 dollari, che corrisponde a un rendimento compreso tra il 100 e il 150.000% o anche di più, con un ritorno finanziario tra i 200 e i 300.000 dollari.

    Sfortunatamente, molte organizzazioni si focalizzano sulla difesa dagli attacchi dei bot utilizzando solo l’indirizzo IP o il blocco delle stringhe User-Agent, che si trasforma rapidamente in un gioco inutile e ansioso di “acchiappa la talpa”, quando in realtà l’enfasi dovrebbe essere posta su come eliminare il valore economico per gli aggressori rendendo poco vantaggioso acquisire le proprietà digitali di altri.

    Come rendere il costo delle frodi online fuori mercato.

    Per le aziende, un punto cruciale per mitigare le frodi è migliorare le proprie difese al punto che per i truffatori online diventi troppo costoso superarle.
    Nel mondo reale, un criminale approfitterà sempre di una finestra aperta piuttosto che comperarsi strumenti costosi per scassinare la serratura di una porta blindata. Una regola che, adattata, vale anche per le proprietà digitali.

    Il metodo migliore è implementare una serie di misure di sicurezza che costringano i truffatori online a tornare sui propri passi, ripensare le fasi del loro attacco e i costi che comportano. Se questo accade troppe volte, l’analisi costi-benefici sfugge dalle loro mani e alla fine la spesa arriva a superare qualsiasi potenziale ritorno.

    Nel 2013 David Bianco ha introdotto un concetto che ha denominato “Pyramid of Pain”, ancora valido ai giorni nostri, soprattutto quando si tratta di mitigare con efficacia e a lungo termine gli attacchi di credential stuffing. In poche parole, impegnarsi in una caccia continua con indirizzi IP e stringhe User-Agent (che si trovano all’ultimo gradino della piramide) è inutile. È meglio concentrare i propri sforzi più in alto, verso il vertice della piramide dove troviamo gli strumenti e le TTP (tattiche, tecniche e procedure) dei truffatori online. In altre parole, prendere di mira continuamente i propri avversari per costringerli a guardare altrove.

    Per riuscire a farlo, è necessario capire quale sia il costo effettivo che i truffatori online dovrebbero sostenere per attaccare le proprietà web e mobile perché se non si conosce questo costo non è nemmeno possibile sapere quali resistenze e blocchi si debba mettere in atto. Una volta risolto questo punto, conviene avviare un piano in tre fasi.

    Partire, innanzitutto, dall’analisi dei propri punti deboli, controllando l’esposizione della rete per eliminare tutto quello che può essere raggiunto facilmente. Questo crea una prima barriera minima che gli aggressori devono superare. È utile, ad esempio, analizzare le pagine di autenticazione delle applicazioni web per essere certi di non fornire feedback non necessari che potrebbero avvantaggiare i truffatori online. Un caso comune riguarda le pagine per reimpostare le password. Scrivere una cosa del tipo: “Mi dispiace, l’account non esiste, riprova più tardi” può fornire ai truffatori un indizio su quali account sono validi su un particolare sito e quali no, migliorando così l’accuratezza e l’efficienza di eventuali attacchi di credential stuffing successivi. Un messaggio di risposta migliore potrebbe essere: “Abbiamo ricevuto la tua richiesta di reimpostare la password. Se questo account esiste, ti verrà inviata un’e-mail all’indirizzo indicato per reimpostarla“.

    Un secondo aspetto importante è quello di eseguire con regolarità test di penetrazione sulle app Web e mobile della propria organizzazione, per capire quanto sia facile per i truffatori online comprometterle al fine di una frode. Questo processo dovrebbe essere guidato da prove concrete senza perdersi in suppositori o sensazioni, solo in questo modo infatti sarà possibile poi adottare strumenti di difesa adeguati, che rispecchino i tentativi più probabili di abbattere le misure di sicurezza di quella particolare organizzazione.

    Bisogna ricordare, infine, che nel campo da gioco della sicurezza i pali delle porte vengono continuamente spostati, perché gli strumenti a disposizione dei criminali migliorano ogni giorno e quindi il terzo passaggio fondamentale sarà aggiornare costantemente e regolarmente i propri strumenti di controllo della security per stare al passo con un panorama dei rischi in continua evoluzione. Un approccio corretto può includere il contributo di analisti di sicurezza (interni all’azienda o collaboratori esterni) che indaghino in profondità su quali siano i più recenti veicoli di attacco e una volta “indossato il cappello dell’hacker” si informino sui tool più in voga sul dark web e nei forum dedicati alle frodi. I bug bounty, infine, possono rappresentare un’altra soluzione utile per identificare falle o nuovi modi per aggirare i controlli esistenti prima che i truffatori online possano individuarli e abusarne.

    Il credential stuffing, purtroppo, è e resterà per molto tempo uno stratagemma economico e facile da sfruttare, che garantisce un forte ritorno economico ai truffatori online permettendo al cybercrime di intascare milioni di euro ogni anno: l’unico modo per contrastarlo sarà renderlo ogni giorno un po’ meno facile.

    Di Paolo Arcagni, ‎Sr. Manager, Solutions Engineering – Italy & Iberia di F5.

    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    La sicurezza aziendale dipende dalla user experience

    11/07/2025

    Gamaredon intensifica le campagne contro l’Ucraina

    11/07/2025

    Cybersecurity e AI: in bilico tra rischi e opportunità

    10/07/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    ExpertBook P5, il notebook con l’AI integrata
    La tua fabbrica è resiliente?
    Legrand Data Center al Data Center Nation per parlare del data center del futuro!
    Snom: focus su tecnologia e partner
    Cumulabilità Transizione 5.0 e ZES: i vantaggi del Litio
    Defence Tech

    La sicurezza aziendale dipende dalla user experience

    11/07/2025

    Gamaredon intensifica le campagne contro l’Ucraina

    11/07/2025

    Cybersecurity e AI: in bilico tra rischi e opportunità

    10/07/2025

    IA cloud-based e il pericolo nascosto della “Shadow AI”

    09/07/2025
    Report

    Il digitale in Italia raccoglie i frutti seminati dall’AI

    03/07/2025

    Continuità Digitale: leva strategica per l’evoluzione dell’A&D

    03/07/2025

    GenAI: aumenta l’adozione, ma anche i rischi

    02/07/2025

    Adozione dell’AI: crescita vertiginosa tra gli impiegati

    01/07/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.