Cos'è il password spray? Come prevenire gli attacchi password spray

Che cos'è un attacco password spray?

Il password spray è un tipo di attacco di forza bruta in cui un cybercriminale tenta di utilizzare la stessa password su più account prima di provarne un'altra. Gli attacchi password spray spesso vanno a segno perché molti utenti utilizzano password semplici e facili da indovinare, come “password” o “123456” e così via.

In molte organizzazioni, dopo un certo numero di tentativi non riusciti da parte dell'utente l'accesso viene bloccato. Dal momento che gli attacchi password spray prevedono l'utilizzo della stessa password su più account, aggirano il blocco degli account che si verifica in genere in seguito a un attacco di forza bruta contro un singolo account con l'uso di numerose password.

Una caratteristica particolare del password spray, come suggerisce il termine "spray", è che può colpire migliaia o addirittura milioni di utenti diversi contemporaneamente, invece che un solo account. Spesso il processo è automatizzato e può avvenire nel corso del tempo per evitare di essere rilevato.

Gli attacchi password spray spesso si verificano dove l'applicazione o l'amministratore all'interno di una particolare organizzazione imposta una password predefinita per i nuovi utenti. Anche le piattaforme basate su cloud o con accesso Single Sign-On possono rivelarsi particolarmente vulnerabili.

Per quanto il password spray possa sembrare semplicistico rispetto ad altri tipi di cyberattacchi, anche i gruppi criminali più sofisticati lo utilizzano. Ad esempio, nel 2022 la Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha diramato un'allerta riguardo ad autori di attacchi sponsorizzati dallo stato, elencando le diverse tattiche utilizzate per accedere alle reti prese di mira, tra cui rientrava anche il password spray.

Come funziona un attacco password spray?

Gli attacchi password spray di solito si articolano nelle seguenti fasi:

Passaggio 1: i cybercriminali acquistano un elenco di nomi utente o ne creano uno

Per dare inizio a un attacco password spray, spesso i cybercriminali acquistano elenchi di nomi utente, che sono stati sottratti a varie organizzazioni. Si stima che sul dark Web siano in vendita più di 15 miliardi di credenziali.

In alternativa, i cybercriminali possono creare il proprio elenco sulla base dei formati seguiti dagli indirizzi e-mail aziendali, ad esempio nome.cognome@nomeazienda.com, e utilizzando un elenco di dipendenti ottenuto da LinkedIn o altre fonti di informazioni pubbliche.

A volte i cybercriminali prendono di mira gruppi specifici di dipendenti, ad esempio reparto finanza, amministratori o dirigenti, dal momento che un approccio mirato può dare risultati migliori. Spesso attaccano aziende o reparti che utilizzano l'accesso Single Sign-On (SSO) o protocolli di autenticazione federati, vale a dire la possibilità di accedere a Facebook con le credenziali di Google, ad esempio, o che non hanno implementato l'autenticazione a più fattori.

Passaggio 2: i cybercriminali ottengono un elenco di password comuni

Gli attacchi password spray si basano sull'uso di elenchi di password comuni o predefinite. È relativamente semplice scoprire quali sono le password più comuni: ogni anno vengono pubblicati vari report o studi sull'argomento e Wikipedia ha addirittura una pagina con le 10.000 password più comuni. I cybercriminali possono anche svolgere opportune ricerche per indovinare le password, ad esempio utilizzando il nome di squadre sportive o di luoghi di interesse locali.

Passaggio 3: i cybercriminali provano diverse combinazioni di nomi utente/password

Una volta che i cybercriminali sono entrati in possesso di un elenco di nomi utente e password, l'obiettivo è di provarli nell'intento di trovare una combinazione che funzioni. Spesso il processo è automatizzato con strumenti di password spray. I cybercriminali utilizzano una password per più nomi utente per poi ripetere il processo con la password successiva in elenco, in modo da evitare di violare i criteri di blocco o le restrizioni sugli indirizzi IP che limitano i tentativi di accesso.

Impatto degli attacchi password spray

Una volta che l'aggressore accede a un account attraverso un attacco password spray, si augura che contenga informazioni sufficientemente preziose da rubare o che disponga di autorizzazioni sufficienti per indebolire ulteriormente le misure di sicurezza dell'organizzazione in modo da accedere a dati ancora più sensibili.

Gli attacchi password spray, se portati a termine con successo, possono causare danni significativi alle organizzazioni. Ad esempio, un aggressore che utilizza credenziali apparentemente legittime può accedere ad account finanziari per effettuare acquisti fraudolenti. Se non rilevati, possono trasformarsi in un peso finanziario per le attività interessate. I tempi di recupero da un cyberattacco possono arrivare fino a un paio di mesi o anche più.

Oltre ad avere ripercussioni sulle finanze di un'organizzazione, il password spray può rallentare significativamente o addirittura interrompere le attività quotidiane. I messaggi e-mail dannosi a livello aziendale contribuiscono a ridurre la produttività. L'acquisizione di un account aziendale da parte di un cybercriminale può comportare il furto di informazioni private, l'annullamento di acquisti o la modifica di date di consegna per i servizi.

Per non parlare del danno in termini di reputazione: se un'azienda è vittima di una violazione di questo tipo, i clienti saranno meno propensi ad affidarle i propri dati. E potrebbero dirottare le proprie attività altrove, causando ulteriori danni all'azienda.

Esempio di password spray

"Mi è stato chiesto di cambiare la password quando la mia banca è stata vittima di un attacco password spray. Gli hacker hanno provato milioni di combinazioni di nomi utente e password con gli account dei clienti della banca e, sfortunatamente, hanno attaccato anche il mio."

Password spray e forza bruta a confronto

Un attacco password spray tenta di accedere a un volume elevato di account con poche password di utilizzo comune. Gli attacchi di forza bruta, invece, tentano di ottenere l'accesso non autorizzato a un unico account indovinando la password, spesso usando lunghi elenchi di potenziali password.

In altre parole, gli attacchi di forza bruta comportano l'uso di molte password per ogni nome utente. Invece, il password spray si basa sull'uso di molti nomi utente con un'unica password. Si tratta di due diverse modalità con cui mettere in atto attacchi di autenticazione.

Segnali di un attacco password spray

Gli attacchi password spray in genere comportano frequenti tentativi di autenticazione non riuscita su più account. Le organizzazioni possono rilevare l'attività di password spray esaminando i log di autenticazione alla ricerca di errori di accesso a sistemi e applicazioni per gli account validi.

In linea generale, i principali segnali che indicano un attacco password spray sono i seguenti:

• Volume elevato di attività di accesso in un breve periodo.
• Picco nei tentativi di accesso non riusciti da parte degli utenti attivi.
• Accessi da account inesistenti o inattivi.

Come difendersi dagli attacchi password spray

Le organizzazioni possono proteggersi dagli attacchi password spray seguendo queste precauzioni:

Implementare una politica di password complesse

Imponendo l'uso di password complesse, i team IT possono ridurre al minimo il rischio di attacchi password spray. Per saperne di più, scopri qui come creare una password complessa.

Configurare il rilevamento degli accessi

I team IT dovrebbero anche implementare il rilevamento dei tentativi di accesso a più account che si verificano da un singolo host in un breve periodo di tempo, trattandosi di un segnale che indica chiaramente un tentativo di password spray.

Mettere in atto criteri di blocco ben definiti

Impostare una soglia adeguata per il blocco a livello di dominio consente di difendersi dagli attacchi password spray. Questa soglia deve essere sufficientemente bassa da impedire agli aggressori di effettuare più tentativi di autenticazione entro il periodo di blocco, ma non così tanto da bloccare gli account di utenti legittimi a causa di semplici errori. Deve essere implementato anche un processo chiaro per lo sblocco e il ripristino degli account utente verificati.

Adottare un approccio "zero trust"

Il fondamento dell'approccio zero trust è consentire l'accesso solo a quanto richiesto in uno specifico momento per completare l'attività attualmente in corso. Implementare una politica zero trust all'interno di un'organizzazione contribuisce nettamente alla sicurezza della rete.

Utilizzare una convenzione non standard per i nomi utente

È consigliabile evitare nomi utente ovvi come mario.rossi o mrossi, che costituiscono la convenzione più comune per i nomi utente, per tutti gli account che non siano e-mail. Differenziare gli accessi non standard per gli account Single Sign-On è un modo per evitare gli attacchi hacker.

Utilizzare l'autenticazione biometrica

Per impedire agli aggressori di sfruttare le potenziali debolezze delle password alfanumeriche, alcune organizzazioni richiedono un accesso biometrico. Senza la persona presente, l'hacker non può effettuare l'accesso.

Prestare attenzione a schemi specifici

Le misure di sicurezza in atto dovrebbero consentire di identificare rapidamente schemi di accesso sospetti, come un volume elevato di account che tentano di accedere contemporaneamente.

L'uso di uno strumento per la gestione delle password può essere d'aiuto

Le password hanno lo scopo di proteggere le informazioni sensibili dall'attacco di utenti malintenzionati. Tuttavia, oggi l'utente medio ha così tante password che può risultare difficile ricordarle tutte, specialmente dal momento che ogni set di credenziali dovrebbe essere univoco.

Per evitare di dimenticarle, alcuni utenti fanno l'errore di utilizzare password ovvie o facili da indovinare e spesso adottano la stessa password per più account. È proprio questo il tipo di password che risulta più vulnerabile agli attacchi password spray.

Le capacità e gli strumenti a disposizione degli aggressori si sono evoluti notevolmente negli ultimi anni. Oggi i computer sono molto più veloci a indovinare le password. Gli hacker fanno ricorso all'automazione per attaccare database di password o account online. E hanno acquisito tecniche e strategie specifiche che producono ancora più successi.

Per i singoli utenti, può essere di aiuto ricorrere a uno strumento di gestione delle password, come Kaspersky Password Manager. Gli strumenti di gestione delle password si basano su una combinazione di complessità e lunghezza per produrre password difficili da violare. Eliminano anche la necessità di doversi ricordare informazioni di accesso differenti e, inoltre, uno strumento di gestione delle password ti aiuterà anche a controllare se per servizi diversi vengono ripetute le stesse password. Si tratta di una soluzione pratica per i singoli utenti per generare, gestire e archiviare credenziali univoche.

Prodotti correlati: 

• Kaspersky Password Manager

Ulteriori approfondimenti: 

• Come proteggere i dati online utilizzando un gestore delle password
• La potenza di uno strumento di gestione delle password
• Cos'è un attacco di forza bruta?