Il credential stuffing è il metodo #1 di acquisizione di account a livello mondiale. Secondo Akamai, nel solo 2020 sono stati registrati 193 miliardi di attacchi di credential stuffing. L'attacco è banale: gli attori di minaccia acquistano combinazioni di nome utente e password divulgate su mercati del dark web per appena 10 dollari per milione di credenziali, le alimentano in bot automatizzati e le testano sistematicamente contro i servizi target.
Il vero problema? La maggior parte delle organizzazioni non sa che le sue credenziali circolano nel dark web finché i clienti non iniziano a chiamare per accessi non autorizzati.
Come funzionano gli attacchi di Credential Stuffing passo dopo passo
Il flusso di attacco è semplice e automatizzato:
-
Acquisire dump di credenziali — Gli attori di minaccia acquistano o ottengono elenchi di nome utente e password divulgate da mercati del dark web, intermediari di dati o violazioni aziendali precedenti.
-
Preparare elenchi di combinazioni — Le credenziali vengono estratte e formattate in elenchi standardizzati (formato nome utente:password o email:password).
-
Automatizzare i tentativi di accesso — Strumenti come Sentry MBA, SilverBullet e OpenBullet sono configurati per testare le credenziali su larga scala contro i servizi target come Microsoft 365, Salesforce o AWS.
-
Eludere il rate limiting — Gli attaccanti utilizzano reti di proxy residenziali per distribuire le richieste su migliaia di indirizzi IP, evitando le tradizionali difese di rate limiting.
-
Monetizzare l'accesso — Le credenziali di account valide vengono utilizzate per frode, movimento laterale, rivendita di credenziali o richieste di riscatto.
L'intero processo può essere eseguito con competenze tecniche minime. I criminali acquistano strumenti pre-costruiti ed elenchi di credenziali, rendendo questo attacco accessibile anche ai minaccianti di basso livello.
L'economia del dark web dietro al credential stuffing
L'ecosistema di credenziali del dark web è vasto e ben organizzato:
I mercati di elenchi di combinazioni operano continuamente nonostante i sequestri delle forze dell'ordine. Il Genesis Market, una volta il più grande mercato di credenziali darknet, è stato chiuso nel 2021, ma l'ecosistema ha semplicemente migrato verso nuove piattaforme. Oggi, mercati come Russian Market ed Exploit commerciano le credenziali apertamente.
Gli stealer logs rappresentano la merce di maggior valore. I malware infostealer come Redline, Raccoon e Vidar raccolgono non solo le password, ma anche i cookie del browser, i token di sessione e i metodi di pagamento salvati dai dispositivi infetti. Un singolo stealer log contenente le credenziali aziendali può costare migliaia di dollari.
La variazione dei prezzi per tipo di account riflette l'economia dell'attaccante:
- Account Netflix/streaming: $0,10–0,50
- Account email: $1–5
- Social media con metodi di pagamento: $5–20
- Account bancari: $65–300
- Accesso VPN aziendale: $800–5.000
- Initial Access Broker (IAB) che vendono accesso aziendale pre-convalidato: $10.000+
Gli Initial Access Broker rappresentano il livello più pericoloso. Questi specialisti vendono accesso diretto alle reti aziendali compromesse, spesso ottenute tramite credential stuffing e movimento laterale.
Perché le difese tradizionali non sono sufficienti
Le organizzazioni che si affidano esclusivamente alle tradizionali politiche di password e al monitoraggio affrontano lacune critiche:
Le tecniche di bypass dell'MFA hanno superato gli attacchi teorici. Lo scambio di SIM, l'affaticamento dell'MFA (attaccare gli utenti con ripetute richieste di autenticazione finché non cedono) e i proxy avversari in mezzo possono completamente eludere l'autenticazione a più fattori.
Gli attacchi lenti e costanti testano le credenziali gradualmente, distribuendo le richieste su settimane o mesi per evitare di attivare gli allarmi di rate limiting. Quando gli avvisi tradizionali rilevano l'attacco, centinaia di credenziali valide sono già state raccolte.
Il compromesso pre-MFA è critico: gli attaccanti prendono di mira specificamente le organizzazioni dove l'MFA non è ancora abilitato. Anche una finestra di 72 ore di accesso all'account prima dell'attivazione dell'MFA può risultare in movimento laterale, furto di dati o escalation dei privilegi.
Sapere prima dell'attacco è il vantaggio decisivo. La tradizionale rilevazione delle intrusioni identifica gli attacchi dopo che il compromesso si è già verificato. Il monitoraggio del dark web rileva l'esposizione delle credenziali prima della weaponizzazione.
Monitoraggio del Dark Web come sistema di allerta precoce
DarkVault monitora continuamente l'ecosistema del dark web per l'esposizione delle credenziali:
Is your company exposed on the dark web right now?
Scan dark web forums, breach dumps, stealer logs & 50,000+ threat sources. Results in seconds, completely free.
-
Monitoraggio dei siti di paste — I dump di credenziali freschi pubblicati su piattaforme simili a pastebin vengono catturati e analizzati in tempo reale.
-
Scansione dei mercati di credenziali — I mercati darknet e i canali Telegram crittografati vengono monitorati per gli elenchi di combinazioni e gli stealer logs contenenti i tuoi domini organizzativi.
-
Feed di stealer logs — I feed automatizzati degli stealer logs appena raccolti vengono acquisiti e analizzati per gli indirizzi email aziendali.
-
Attività dei forum del dark web — I forum degli attori di minacce e le discussioni dei mercati vengono monitorate per le menzioni della tua organizzazione o dei tuoi domini.
-
Avvisi automatizzati — Quando il tuo dominio email aziendale appare in elenchi di combinazioni freschi, stealer logs o comunicazioni di attori di minacce, ricevi avvisi immediati prima che gli attaccanti weaponizzino l'accesso.
Caso d'uso HR: Le credenziali dei dipendenti licenziati continuano a circolare nel dark web per mesi o anni dopo il licenziamento. Il monitoraggio rileva questa esposizione prima che gli account dei vecchi dipendenti compromessi vengano utilizzati per spionaggio aziendale.
Cosa fare quando le tue credenziali appaiono nel dark web
Un piano di risposta agli incidenti strutturato è essenziale:
-
Forzare il reset immediato della password — Gli utenti interessati devono resettare le credenziali immediatamente, non al prossimo accesso.
-
Controllare gli account per i segni di compromesso — Verifica i log SIEM, del server di posta e dell'accesso al cloud per attività non autorizzata dagli account interessati durante la finestra di esposizione.
-
Abilitare l'MFA se non è già attivo — Per gli utenti interessati, applicare l'autenticazione a più fattori senza eccezioni.
-
Notificare gli utenti interessati — Secondo l'Articolo 34 del GDPR e l'Articolo 23 della Direttiva NIS2, la notifica tempestiva è sia un obbligo legale che una best practice di sicurezza.
-
Documentare per la risposta agli incidenti — Creare un record formale dell'esposizione, della data di rilevamento, della sequenza temporale della risposta e dei passaggi di rimediazione per i rapporti normativi e l'analisi futura.
Protezione dal Credential Stuffing di DarkVault
La piattaforma di monitoraggio delle credenziali di DarkVault combina la scansione continua del dark web con gli avvisi in tempo reale:
- Scansione continua del dark web su siti di paste, mercati darknet e canali Telegram
- Monitoraggio degli elenchi di combinazioni con fingerprinting per identificare le violazioni specifiche che affliggono la tua organizzazione
- Rilevamento degli stealer logs con analisi automatizzata e corrispondenza dei domini
- Avvisi in tempo reale in modo che i team di risposta abbiano giorni o settimane di preavviso prima che gli attaccanti si muovano
- Integrazione SIEM per l'inclusione trasparente nei tuoi flussi di risposta agli incidenti esistenti
Ottieni la tua scansione gratuita di esposizione del dark web — Scopri se le tue credenziali sono già compromesse. Scopri quali domini aziendali appaiono negli stealer logs e negli elenchi di combinazioni in pochi minuti.
Domande Frequenti
Come faccio a sapere se la mia azienda è stata colpita dal credential stuffing?
Monitora i tuoi log di autenticazione per improvvisi picchi di tentativi di accesso falliti da posizioni geografiche insolite o indirizzi IP. Tuttavia, questo approccio reattivo significa che il compromesso potrebbe essersi già verificato. Il monitoraggio proattivo del dark web fornisce un avviso precoce prima che gli attaccanti tentino di utilizzare le credenziali.
Qual è la differenza tra credential stuffing e attacco di forza bruta?
Gli attacchi di forza bruta generano nuove supposizioni di password algoritmicamente (provando password deboli come "password123"). Il credential stuffing riutilizza coppie nome utente/password note come valide da violazioni precedenti. Il credential stuffing è molto più efficiente, con tassi di successo tra lo 0,1–2%.
Quanto velocemente avvisa DarkVault quando le credenziali vengono visualizzate?
La maggior parte degli elenchi di credenziali nuove vengono rilevati entro 4–24 ore dalla pubblicazione. I feed di stealer logs vengono monitorati quasi in tempo reale, con avvisi generalmente entro 1–4 ore dalla pubblicazione del log. Il tempo di rilevamento dipende dal mercato, ma gli avvisi proattivi forniscono giorni di preavviso rispetto alla notifica reattiva di violazione.
Is your company exposed on the dark web right now?
Scan dark web forums, breach dumps, stealer logs & 50,000+ threat sources. Results in seconds, completely free.
Ottieni il tuo Report Gratuito di Esposizione sul Dark Web
Trova credenziali esposte, menzioni e conversazioni rischiose legate al tuo brand — rapidamente.
- Analisi dell’esposizione di email e dominio
- Attori delle minacce e forum che citano il tuo brand
- Passi concreti per mitigare il rischio
Nessuna carta di credito richiesta. Consegna rapida. Affidato da team di sicurezza in tutto il mondo.
Related Articles
Lavoro Remoto e Esposizione nel Dark Web — Protezione dei Team Distribuiti
Il lavoro remoto ha triplicato la superficie di attacco. Scopri come rilevare il furto di credenziali nel dark web e proteggere i team distribuiti.
Read more
PCI DSS e Monitoraggio del Dark Web — Cosa Commercianti e Processatori di Pagamento Devono Sapere
PCI DSS v4.0 rende il monitoraggio del dark web un controllo di conformità essenziale. Scopri come l'intelligence sulle minacce affronta i requisiti di sicur...
Read more
Cosa fare se i dati della vostra azienda compaiono sul dark web
Avete appena ricevuto un avviso: i dati della vostra azienda sono sul dark web. Ecco esattamente cosa fare nelle prossime 72 ore per contenere la violazione ...
Read more