Carte fedeltà e profili personali: miniera d’oro per i ladri di dati

Commercio, turismo, ospitalità: per i criminali informatici questi tre settori sono una miniera d’oro, o ancor meglio una miniera di dati monetizzabili. Il furto di credenziali da siti e account personali legati a servizi di e-commerce, trasporti e hotel è da sempre redditizio e lo è diventato ancor di più nell’ultimo periodo. Lo conferma l’ultimo report di Akamai, titolato “State of the Internet / Security: Loyalty for Sale – Retail and Hospitality Fraud”, riportando i dati degli attacchi registrati nel corso di due anni: dal luglio del 2018 al giugno del 2020. La crisi causata dal coronavirus, dunque, entra solo di striscio in questa analisi, ma dal report emergono alcune dinamiche interessanti legate alla pandemia.

Come noto, i furti di credenziali possono risultare monetizzabili nell’immediato (se le informazioni vengono aggregate in database e rivendute o scambiate sul dark web, per esempio) ma anche a distanza di tempo, per entrare in un secondo momento negli account di cui si conoscono username e password. Tra luglio 2018 e giugno 2020 Akamai ha osservato complessivamente oltre 100 miliardi di attacchi di credential stuffing, dei quali oltre 63,8 miliardi sono stati rivolti ad account legati alla categoria “commercio” (comprensiva di commercio al dettaglio, viaggi e industria alberghiera). Oltre il 90% degli attacchi nella categoria commercio ha colpito il settore retail.

“I criminali non fanno i difficili: tutto ciò a cui riescono ad accedere può essere da loro utilizzato in qualsiasi modo", ha commentato Steve Ragan, security Researcher di Akamai e autore del report State of the Internet / Security. “Ecco perché il credential stuffing è diventato così popolare negli ultimi anni. Al giorno d'oggi, i nostri profili personali sui siti dei nostri retailer preferiti e i profili creati per entrare nei programmi fedeltà dei brand contengono un'infinità di informazioni personali e in alcuni casi anche informazioni finanziarie. Tutti questi dati possono essere raccolti, venduti e scambiati o anche compilati per la creazione di profili completi, che possono essere successivamente riutilizzati per reati come il furto di identità".

A proposito degli effetti del covid-19 su queste attività, Akamai sottolinea che nel primo trimestre del 2020 i criminali informatici hanno approfittato della situazione di crisi per far circolare e mettere in vendita vecchie liste di combinazioni di password, bottino di precedenti attacchi. Queste liste sono state utilizzate per cercare di identificare nuovi account vulnerabili.

Il credential stuffing non è però l'unico modo con cui i criminali prendono di mira i settori retail, travel e hospitality: altro metodo sono gli attacchi Web, basati per esempio su tecniche di SQL Injection (SQLi) e Local File Inclusion (LFI). Tra luglio 2018 e giugno 2020 Akamai ha osservato oltre 4,37 miliardi di attacchi Web contro questi tre settori, soprattutto (per l'83%) contro il commercio al dettaglio.

"Tutte le aziende devono adattarsi ai cambiamenti esterni, che si tratti di una pandemia, di un competitor che entra in gioco nel mercato o di un aggressore attivo e intelligente", ha concluso Ragan.” Alcuni dei principali programmi di fidelizzazione mirati non richiedono altro che un numero di cellulare e una password numerica, mentre altri si affidano a informazioni facilmente reperibili come mezzo di autenticazione. Quello che emerge è un urgente bisogno di migliori controlli di identità e di contromisure per prevenire gli attacchi contro le API e le risorse dei server”.