F5 publica raportul pe 2021 al incidentelor de tip Credential Stuffing

Datele din acest raport au fost colectate in scopul de a genera legaturi intre cele 3 aspecte ale ecosistemului din jurul furtului credentialelor : sustragere, vanzare si frauda.
Cercetatorii in securitate de la F5 au identificat  ca atacurile de tip credential stuffing sunt, in ultimii ani, una dintre cele mai importante amenintari. In 2018 si 2019, atacurile de tip phishing impreuna cu credential stuffing au reprezentat aproximativ jumatate din toate bresele de securitate dezvaluite public in Statele Unite. Cu alte cuvinte, credentialele furate sunt atat de valoroase incat cererea pentru ele ramane enorma, creand un cerc vicios in care companiile sufera atat intruziuni in retea in cautarea credentialelor, cat si atacuri de tip credential stuffing in cautarea profitului.
Intelegerea aspectelor cererii si ofertei de pe piata pentru furtul de credentiale este, prin urmare, cheia pentru contextualizarea si intelegerea enormitatii riscului pe care criminalii cibernetici il prezinta pentru organizatii.
Raportul publicat de Shape Security, acum parte a F5 Networks, cunoscut anterior sub denumirea de „Credential Spill Report”, prezinta intregul ciclu de viata al abuzului de credentiale si pasii pe care cybercriminalii ii fac pentru a se adapta si a depasi apararea companiilor.
Printre principalele concluzii ale raportului se numara: 

• Numarul incidentelor anuale de furt de credentiale s-a dublat intre 2016 si 2020
• In ciuda consensului cu privire la cele mai bune practici, comportamentul industriei in ceea ce priveste stocarea parolelor ramane slab. Stocarea completa a parolelor este responsabila pentru cel mai mare numar de credentiale furate de departe, iar algoritmul de hash discreditat pe scara larga MD5 ramane surprinzator de raspandit.
• Un punct slab il constituie detectarea si descoperirea intruziunilor, precum si exfiltrarea datelor.
• Timpul mediu pentru descoperirea furtului de credentiale intre 2018 si 2020 a fost de 120 de zile; insa poate dura pana la 327 de zile. Deseori, credentialele compromise sunt descoperite pe Dark Web inainte ca firmele sa detecteze sau sa dezvaluie o bresa de securitate.

Cercetatorii au facut o analiza comparativa folosind date istorice si mostre din aproape 9 miliarde (!) credentiale compromise, ca rezultat al mai multor brese de securitate distincte, numite „Colectia X”. (aceste credentiale au fost postate pe forumuri Dark Web la inceput de Ianuarie 2019).
Credentiale din „Colectia X” au fost comparate cu numele de utilizatori folositi in atacuri de tip „credential stuffing” directionate catre un grup de clienti Shape Security, cu 6 luni inainte si 6 luni dupa ce „Colectia X” a devenit cunoscuta public.
Au fost studiate 4 companii din top-ul Fortune 500: 2 banci, un retailer, o companie „food and beverage” – studiindu-se 72 miliarde tranzactii pe o perioada de peste 21 de luni.
Folosind tehnologia Shape Security, cercetatorii au reusit sa urmareasca procesul de sustragere, vanzare si folosire a credentialelor.
Pe parcursul a 12 luni, 2.9 miliarde credentiale diferire au fost folosite atat in tranzactii legitime cat si in atacuri directionate catre cele 4 companii, rezultand un numar de 900 milioane de credentiale compromise.
Cel mai frecvent, credentialele compromise au aparut in tranzactii legitime realizate de atacatori cu banci (34%, respectiv 24% din cazuri), 10% din atacuri au fost directionate catre retailer, iar numai 5% catre business-ul „food and beverage”
Un truism in industria securitatii spune ca exista doua tipuri de companii – cele care au avut o bresa de securitate si cele care pur si simplu nu au avut-o inca. Incepand cu 2021, ar trebui sa actualizam acest truism la ceva de genul „Exista doua tipuri de companii – cele care recunosc amenintarea de tip credential stuffing si cele care vor fi victimele sale”. In Raportul F5 Labs 2019, s-a constatat ca atacurile legate de acces, care cuprind phishing si acreditare, in diferitele sale forme, au reprezentat aproximativ jumatate din incalcarile de date divulgate public in Statele Unite in 2018 si 2019, o proportie mult mai mare decat orice alta cauza.
Atacul de tip credential stuffing va fi o amenintare atata timp cat utilizatorii se vor conecta la conturi online. Cea mai buna modalitate de a preveni credential stuffing este utilizarea unei platforme anti-automatizare. In plus, raportul prezinta si cele cele mai bune 10 practici pentru a reduce la minimum amenintarea completarii credentialelor – de la moduri in care o companie isi poate micsora suprafata de atac pana la sfaturi pentru angajati.
Raportul complet poate fi citit aici.