L'economia sommersa delle password rubate

Non molto tempo fa, pare che una violazione subita da Roku abbia compromesso più di 15.000 account degli utenti nell'ambito di un attacco di credential stuffing. Successivamente, in occasione di un altro incidente, Roku ha rivelato che gli hacker erano riusciti ad accedere ad altri 576.000 account circa.

Ma in che modo, esattamente, questi dati vengono rubati? E cosa succede dopo che finiscono nelle mani dei criminali informatici? Approfondiamo la questione.

Come vengono rubati i dati personali e le password

Esistono diversi modi comuni mediante i quali i criminali informatici riescono a sottrarre password e informazioni personali:

Stealer

Gli stealer, o infostealer, sono un tipo di malware appositamente progettato per carpire password, numeri di carte di credito, chiavi di portafogli di criptovalute e altri dati preziosi dai computer infettati. Spesso si diffondono attraverso e-mail di phishing, che persuadono con l'inganno a scaricare allegati dannosi, oppure attraverso siti web compromessi, che installano di nascosto i malware quando gli utenti li visitano. Dopo aver infettato un sistema, lo stealer scansiona in modo sistematico i browser, i file e le applicazioni della vittima, alla ricerca di qualsiasi informazione sensibile presente; i dati trovati vengono poi trasmessi silenziosamente ai server dei criminali, dove vengono raccolti e organizzati per essere poi venduti su forum e reti di attività illecite online.

Malware

Oltre agli stealer, anche altre tipologie di malware come trojan, spyware e keylogger possono essere usati per rubare password e dati personali. Questi programmi dannosi spesso si spacciano per software legittimi, che gli utenti sono indotti a installare con l'inganno attraverso falsi aggiornamenti o tattiche persuasive di ingegneria sociale; dopo aver infettato un sistema, il malware opera silenziosamente in background registrando ogni tasto digitato dalla vittima, catturando periodicamente degli screenshot e addirittura sottraendo file e dati ai quali l'utente accede. Col passare del tempo il criminale può costruire un profilo completo delle attività online e delle informazioni sensibili della vittima, il tutto a sua insaputa.

Database

Un altro modo comune di rubare i dati è attraverso database non protetti e repository di codice che sono esposti pubblicamente su internet; ad esempio, senza volerlo molte aziende configurano in modo errato la propria archiviazione cloud o non modificano i controlli di accesso predefiniti, consentendo così a chiunque si imbatta nel database di visualizzarne e scaricarne il contenuto.

I criminali informatici passano costantemente al setaccio internet alla ricerca di queste risorse vulnerabili, rastrellando tutti i dati sensibili che riescono a trovare. In alcuni casi questi database non protetti contengono enormi quantità di password, informazioni personali e persino dati finanziari degli utenti, pronti per essere carpiti.

Qui sopra puoi vedere un sito web che consente di scoprire e mettere al sicuro i repository esposti pubblicamente. Questa piattaforma offre un'interfaccia completa per l'identificazione e la gestione di bucket di archiviazione accessibili al pubblico, spesso usati da servizi cloud come AWS S3, Google Cloud Storage e Azure Blob Storage.

L'economia sommersa dei dati rubati

Cosa succede, quindi, dopo che password e informazioni personali vengono rubate in una violazione di dati? Finiscono rapidamente sul dark web e nei forum frequentati dai criminali informatici, dove esiste una fiorente economia sommersa legata alla compravendita di dati rubati.

Se navigassi su queste reti illegali, troveresti intere sezioni dedicate alle fughe di dati dove i malintenzionati acquistano, vendono e condividono password e dati personali rubati a tutte le ore del giorno.

I database appena hackerati vengono spesso venduti all'asta al miglior offerente o ceduti a un prezzo fisso per dato, a seconda del valore percepito delle informazioni. Un database contenente informazioni finanziarie dettagliate o profili di identità completi, ad esempio, vale molto di più di un semplice elenco di indirizzi e-mail e password.

Esistono persino degli zelanti criminali informatici che condividono gratis i database rubati, utilizzandoli come se fossero dei "prodotti civetta" per consolidare la propria reputazione e notorietà sui forum. Queste sezioni di "omaggi" sono piene di post di hacker desiderosi di mettere in mostra le loro capacità e guadagnare il rispetto dei pari: per loro, il prestigio e il riconoscimento della community valgono più di qualsiasi somma che avrebbero potuto guadagnare vendendo i dati.

Oltre alle singole violazioni, in vendita si possono anche trovare enormi raccolte che, all'interno di database comodi e consultabili, aggregano i dati sottratti da diversi attacchi. I malintenzionati possono acquistare dei crediti per eseguire interrogazioni mirate, cercando informazioni di individui specifici fra tutti i dati violati raccolti dal servizio: riescono quindi a creare profili incredibilmente dettagliati delle loro potenziali vittime, correlando i dati di decine di violazioni diverse per ottenere un dossier completo. Ecco alcuni esempi di questi servizi di compilazione di database*:

1. DeHashed

Un famigerato servizio di compilazione di database, che vanta oltre 14 miliardi di dati sottratti da migliaia di violazioni. DeHashed presenta un'interfaccia di ricerca intuitiva che può consentire ai criminali informatici di cercare rapidamente persone specifiche e accedere a tutti i dati che sono stati loro rubati, come password, indirizzi, numeri di telefono e non solo.

2. Leaked.Domains

Entrato più di recente nel settore della compilazione di database, Leaked.Domains adotta un approccio leggermente diverso organizzando i suoi dati in base a specifiche violazioni dei siti web. I malintenzionati possono cercare un particolare dominio e mettere le mani su tutti i dati che sono stati rubati da quel sito: così facendo, sarà più semplice condurre attacchi mirati agli utenti di servizi specifici.

In che modo i dati rubati danneggiano le aziende

Ora che conosci il ciclo di vita dei dati rubati, forse ti starai chiedendo: ma in pratica, come si sfrutta un insieme di password e informazioni personali violate per compromettere un'azienda? Facciamo un esempio ipotetico.

Supponiamo di essere un hacker che vuole colpire una grande azienda Fortune 500 che si occupa di telecomunicazioni. La prima cosa che potremmo fare è cercare account legati a questa società in diversi servizi di compilazione di database. Spendendo una certa somma, scopriamo centinaia di migliaia di informazioni utili: indirizzi e-mail, password e altri dati personali associati ai suoi dipendenti e utenti.

Ora possiamo prendere tutti questi dati e caricarli in un foglio di calcolo, in modo da analizzarli e capire come usarli per un potenziale attacco. In molti casi, l'azienda potrebbe non essere nemmeno al corrente di aver subito delle violazioni e del fatto che tali informazioni siano in circolazione: questo ci colloca in una posizione di notevole vantaggio.

Fra le diverse tattiche che potremmo adottare, la più semplice e ovvia sarebbe quella di testare le password esposte, per vedere se qualcuna ci consente di accedere agli account dei dipendenti. Gli esseri umani sono creature abitudinarie e, pur sapendo che non dovrebbero farlo, molte persone riutilizzano le stesse password per diversi servizi: basta che un solo dipendente lo faccia per offrirci un varco d'ingresso nell'azienda.

Se nessuna password dovesse funzionare, abbiamo comunque a disposizione una grande quantità di informazioni potenzialmente utili; ad esempio, fra i dati violati, potrebbero esserci l'indirizzo IP o il numero di telefono di un dipendente. Potremmo quindi cercarli in tutti gli altri database di informazioni rubate, per trovare ulteriori account associati a questi dati personali.

Ad esempio, se trovassimo l'indirizzo di residenza del dipendente collegato a un account su un forum online, e anche questo sito fosse stato violato, ora potremmo avere accesso a un'altra serie di password da provare per entrare nell'account aziendale di questa persona. Potremmo anche usare i dati che abbiamo raccolto per creare un'e-mail di phishing o una strategia di ingegneria sociale decisamente credibile, per indurre il dipendente a fornirci direttamente l'accesso.

Poco alla volta, possiamo costruire profili e dossier sulle nostre vittime per aprire delle brecce nelle difese aziendali ed espandere il nostro accesso; a quel punto potremmo condurre ulteriori attacchi per violare i server, rubare il codice sorgente o infettare con malware l'intera rete aziendale. E tutto questo ha avuto origine da un insieme di password e dati personali rubati.

Evitare il riutilizzo delle password e proteggere gli account

Quando una delle tue password finisce sul dark web, è compromessa per sempre; inoltre, grazie ai servizi di compilazione di database, gli hacker possono acquisire facilmente enormi quantità di dati identificativi personali per colpire le vittime. Per proteggere te e la tua azienda, è fondamentale usare password forti e univoche per ogni singolo account.

Ma creare decine di password complesse, e soprattutto ricordarle, può essere un'impresa ai limiti dell'impossibile: ed è proprio qui che entrano in gioco i gestori di password. Un gestore di password genera, memorizza e compila automaticamente le credenziali complesse, rendendo semplice l'utilizzo di password difficili da violare e univoche per ogni account.

Uno dei migliori gestori di password sul mercato è NordPass, creato dagli stessi esperti che hanno messo a punto NordVPN. NordPass offre una gamma di funzionalità che lo rendono la scelta ideale per proteggere i tuoi account, come la generazione di password complesse, la crittografia sicura e una comoda funzionalità di compilazione automatica.

Usando un gestore di credenziali di questo tipo, puoi garantire che ognuno dei tuoi account sia protetto da una password robusta e univoca. Anche se una delle tue password venisse esposta a causa di una violazione di dati, tutti gli altri account rimarranno al sicuro.

NordPass monitora anche i database di informazioni sottratte dagli hacker e ti avvisa se, al loro interno, sono presenti i tuoi dati: questa funzionalità di controllo è una componente fondamentale del Rilevatore violazioni dati, uno strumento creato appositamente per monitorare in modo proattivo gli indirizzi e-mail e i dati delle carte di credito salvati nel tuo account NordPass. L'app invia notifiche precise quando uno dei tuoi elementi risulta coinvolto in una violazione di dati.

Un ultimo consiglio per identificare potenziali fughe di dati è utilizzare alias e-mail univoci quando ti registri a vari servizi online. Aggiungendo un tag "+servizio" al tuo indirizzo e-mail (ad esempio, [email protected], sostituendolo col nome del servizio in questione), puoi creare un identificatore diverso per ciascun account. Se quell'alias specifico inizia a ricevere messaggi di spam, o appare in un database di dati violati, saprai con precisione quale servizio è stato compromesso.

Tieni però presente che non tutti i siti web consentono l'uso di questi indirizzi di posta elettronica con alias e che, inoltre, un malintenzionato esperto potrebbe comunque identificare l'e-mail principale rimuovendo l'appendice "+servizio". Ciononostante, questo rimane un trucco utile per risalire con precisione agli account interessati da violazioni di dati.

Se sei titolare di un'azienda, puoi rendere obbligatorio l'uso di un gestore di password. Per usufruire di una prova gratuita di 3 mesi di NordPass Business, clicca qui e potrai iniziare subito a usarlo. Usa il codice "danielk": per la prova non serve la carta di credito.

Prova gratuitamente NordPass Business per 3 mesi

Carta di credito non richiesta. Usa il codice DANIELK

Inizia la prova gratuita

*Gli esempi vengono forniti solo per finalità informative e didattiche. NordPass non ne avalla, promuove né supporta l'utilizzo, e non ha alcuna affiliazione con essi. Si esortano i lettori a rispettare tutte le leggi e le normative applicabili. Tutti i marchi commerciali citati appartengono ai rispettivi proprietari.