Milioni di danni da credential stuffing: le aziende B2C perdono fino al 9% delle loro vendite

Con l’aiuto di database di password trapelate, i criminali informatici sono riusciti ripetutamente a impossessarsi degli account degli utenti. Vengono utilizzati strumenti altamente automatizzati per provare milioni di combinazioni di nomi utente e password in pochi minuti. In questo modo, solo uno dei cosiddetti attacchi di credential stuffing può portare a migliaia di vittime. Per le aziende con un forte focus online, queste acquisizioni di conti rappresentano ora un rischio finanziario che assorbe fino al 9% delle vendite, secondo i risultati di uno studio condotto dai consulenti strategici Aberdeen per conto dello specialista svizzero della sicurezza Nevis.

Per la ricerca, Aberdeen si è concentrata su dieci categorie selezionate di B2C in Europa, Medio Oriente e Africa: Banche commerciali, cooperative di credito, parsimonia e fintech da un lato, ma anche assicurazioni sulla proprietà e sugli infortuni, elettronica di consumo, reti di fornitori di servizi sanitari, gioco d’azzardo online, telecomunicazioni e servizi pubblici. Ciò ha mostrato quanto siano attualmente prevalenti gli attacchi di credential stuffing: Il 76% degli intervistati ha affermato che alcuni dei propri utenti online sono stati vittime di acquisizioni di account di successo negli ultimi 12 mesi.

Gli attacchi informatici danneggiano la redditività

L’indagine illustra anche l’entità drammatica dei danni causati. I costi degli attacchi informatici di successo si sommano rapidamente a ingenti somme che semplicemente non possono essere liquidate come l’inevitabile “costo per fare affari”: le banche commerciali perdono dal 3,4 al 5,28% delle entrate a causa del credential stuffing; Nel settore fintech, il rapporto è compreso tra 5,57 e 8,96 percento. Anche i settori al di fuori del mondo finanziario sono colpiti in misura simile: la perdita di vendite dovuta ad acquisizioni illegali di conti da parte di operatori sanitari è dal 4,45 al 5,79 per cento. Anche nel settore dei giochi, strettamente regolamentato e quindi particolarmente attento alla sicurezza, le perdite oscillano tra il 5,02 e l’8,2 per cento.

Una volta aperto l’accesso all’account di un utente, i criminali possono sfruttarlo per una varietà di scopi. Secondo il sondaggio di Aberdeen, le transazioni fraudolente (39%), la creazione di un nuovo account (34%) e il rifiuto errato di pagamenti con carta (34%) sono le più comuni. Altre conseguenze tipiche delle acquisizioni di account includono storni di addebito (18%), trasferimenti di denaro o altri beni scambiabili (11%), acquisti fraudolenti (11%) e furto di contenuti e servizi digitali (11%). Oltre a queste conseguenze dirette, ci sono altre conseguenze indirette, come una diminuzione del numero di utenti attivi, scoraggiata da maggiori misure di sicurezza, o la migrazione verso i concorrenti.

Aberdeen ha anche considerato la questione di come le aziende stiano cercando di proteggersi dal numero crescente di attacchi di credential stuffing: ciò dimostra che il modello di nome utente e password, nonché le soluzioni di autenticazione a più fattori vengono sempre più evitate: Ad esempio, le app mobili per l’autenticazione a più fattori sono attualmente utilizzate dal 42% delle aziende intervistate, ma solo il 24% supporta un’introduzione futura. D’altra parte, i partecipanti allo studio vedono un forte potenziale di innovazione in approcci senza password facili da usare ed economici per i fornitori di servizi. Mentre solo il 20% ha implementato finora pratiche senza password (adattive, contestuali e trasparenti), il 46% prevede di farlo in futuro.

Il riempimento delle credenziali è ancora popolare tra i criminali

Il riempimento delle credenziali è attualmente un metodo interessante per gli aggressori in diversi modi: Innanzitutto, il dark web semplifica l’ottenimento di elenchi di credenziali che sono state rese pubbliche a causa di una violazione dei dati o di un hack. In secondo luogo, tutte le relazioni commerciali basate su account digitali richiedono credenziali digitali, quindi, a meno che non vengano applicate misure di sicurezza aggiuntive, sono vulnerabili ad attacchi di forza bruta come il credential stuffing. Terzo, gli attacchi possono essere facilmente automatizzati: I trasgressori non devono necessariamente avere una conoscenza del software, ma possono noleggiare il software richiesto su Darknet secondo il principio del software come servizio.

È probabile che questo modello di business redditizio scomparirà solo quando la maggior parte delle aziende cambierà i propri account utente per proteggere processi come l’autenticazione a più fattori e, in particolare, l’autenticazione senza password.