Proteggersi dal furto di password: cominciamo dall’email


Una ricerca di Google accende i riflettori sulle tecniche usate per sottrarre le credenziali dei servizi online. Gli account email sono quelli più bersagliati.

Sul mercato nero sono in vendita miliardi di credenziali rubate agli utenti e almeno il 15% degli utenti hanno sperimentato nel corso della loro vita un problema legato al furto delle credenziali per un qualche servizio Internet.

A dirlo è una ricerca pubblicata da Google, che ha analizzato il fenomeno del furto delle credenziali online alla ricerca di spunti e per migliorare il livello di protezione dei suoi servizi. Il quadro che emerge, però, consente di comprendere piuttosto bene le dinamiche legate alle tecniche utilizzate dai pirati informatici per mettere le mani sui dati di accesso ai servizi online.

email furto password

La ricerca di Google evidenzia, tra le altre cose, quali siano i servizi più bersagliati dagli attacchi di phishing. I servizi di posta elettronica sono in testa alla lista.

Dalla ricerca di Google nel Deep Web emerge che i cyber-criminali possono accedere a una quantità smisurata di informazioni che provengono da fonti diverse. I ricercatori hanno individuato 788.000 credenziali rubate utilizzando keylogger, 12 milioni provenienti dal phishing e la bellezza di 3,3 miliardi sottratte attraverso la violazione di sistemi di servizi online.

Account Gmail al centro del mirino

Nella ricerca si capisce immediatamente che la preoccupazione dei ricercatori è rivolta soprattutto agli account Google. Prima di archiviarla come una prospettiva “di parte”, però, serve fare qualche considerazione.

Il fatto che il servizio di posta elettronica dell’azienda di Mountain View sia il più usato al mondo, per esempio, ha una prima conseguenza immediata: la maggior parte degli account di qualsiasi servizio su Internet fanno riferimento a un indirizzo Gmail.

Dalla ricerca emerge che tra i 3,3 miliardi di account provenienti dai vari leak provocati dalla violazione di sistemi di altre società, ben il 12% fa riferimento a un account Gmail. Di questi, il 7% usa la stessa password utilizzata per la posta elettronica.

email furto password

Compromettere un account Gmail consente ai pirati di accedere anche a tutti i servizi a cui l’utente si è registrato con quell’indirizzo di posta elettronica.

Il dato ha una certa importanza. Visto che la maggior parte dei servizi prevede che il reset della password avvenga attraverso l’email usata per la registrazione, significa infatti che chi ha accesso all’account Gmail di un utente, ha accesso anche a tutti i servizi che ha registrato con quell’email.

Non è un caso che i pirati informatici dedichino significativi sforzi per violare proprio gli account di Google. Stando ai dati pubblicati nella ricerca, una percentuale tra il 12 e il 25% degli attacchi mirati tramite keylogger e phishing ne confronti di questi account ha successo.

Quanto servono i controlli?

E qui si apre un altro discorso. Tutto si può dire di Google, infatti, tranne che non presti attenzione al tema della sicurezza. Quante volte vi è capitato di ricevere un avviso (magari mentre vi trovavate all’estero) in cui si chiedeva conferma del fatto che l’accesso a un servizio Google fosse stato fatto proprio da voi?

Questo perché l’azienda di Mountain View utilizza una serie di parametri di identificazione degli utenti (per esempio la posizione) che consente di far scattare un allarme quando c’è qualche attività sospetta.

Il problema è che i pirati conoscono benissimo queste tecniche e cercano di aggirarle rubando le informazioni che possono servire per aggirare i controlli.

Dall’indagine, per esempio, emerge che l’82% degli strumenti di phishing e il 74% dei keylogger cercano anche di registrare l’indirizzo IP dell’utente e la sua posizione. Dati che permetterebbero ai pirati di eseguire l’accesso senza far scattare campanelli di allarme “scomodi”.

email furto password

I sistemi di autenticazione a due fattori rappresentano uno degli argini più efficaci al furto di credenziali.

Un discorso diverso vale per i sistemi di autenticazione a due fattori (per esempio i PIN inviati ai dispositivi mobili) che sono decisamente più difficili da eludere e che rappresentano ancora uno degli strumenti di protezione più efficaci a nostra disposizione.



Articoli correlati

Altro in questa categoria


Torna Anonymous Italia. “Abbiamo i dati del governo”


Gli hacktivist si fanno risentire e annunciano di avere “bucato” ministeri e forze di polizia. Tra i dati pubblicati i documenti di un agente della Polizia di Stato.

Si pensava che dopo l’ondata di arresti che aveva portato in manette alcuni dei membri di Anonymous Italia gli hacker avessero interrotto le loro attività. Non è così.

A dimostrarlo un post pubblicato sabato scorso che annuncia una violazione attraverso cui gli hacktivist avrebbero messo le mani su “dati personali relativi al Ministero dell’Interno, al Ministero della Difesa, alla Marina Militare nonché di Palazzo Chigi e Parlamento Europeo”.

Nello stesso post sono presenti due link che dovrebbero fornire un “assaggio” di quanto è finito nelle mani degli hacker. Uno è una lista di indirizzi email tra i quali ce ne sono alcuni di centrali di polizia e altri con dominio “governo.it” e “palazzochigi.it”. Nel secondo ci sono una serie di documenti tra i quali ci sono anche scansioni di carte d’identità e passaporti.

Gli Anon non specificano quale tipo di azione abbia portato al leak di documenti e dati, ma a guardare ciò che è stato pubblicato finora il tutto potrebbe anche provenire dalla casella email privata di un agente della Polizia di Stato.

Il comunicato che accompagna il link è piuttosto roboante e contiene una citazione da “La Repubblica” di Platone: “Ecco, secondo me, come nascono le dittature. Esse hanno due madri.  Una è l’oligarchia quando degenera, per le sue lotte interne, in satrapia. L’ALTRA È LA DEMOCRAZIA QUANDO, PER SETE DI LIBERTA’ E PER L’INETTITUDINE DEI SUOI CAPI, PRECIPITA NELLA CORRUZIONE E NELLA PARALISI. Allora la gente si separa da coloro cui fa la colpa di averla condotta a tale disastro e si prepara a rinnegarla prima coi sarcasmi, poi con la violenza che della dittatura è pronuba e levatrice. Così la democrazia muore: per abuso di sé stessa. E prima che nel sangue, nel ridicolo”.

I documenti pubblicati (almeno finora) non contengono nulla di sconvolgente. Quello che è certo, però, è che i funzionari italiani devono fare di corsa qualcosa per migliorare il loro livello di percezione in tema di sicurezza informatica, che al momento è davvero penosa.

Anonymous Italia

Questo è il tipo di comunicazione che NON DOVREBBE essere inviata a indirizzi di posta elettronica privati.

Basti pensare che una delle email pubblicate sul sito, che riguarda un sopralluogo previsto per oggi a Bologna in vista della visita del Presidente del Consiglio Gentiloni e contiene luoghi e orari dei sopralluoghi oltre che i nomi dei funzionari che li faranno, è stata spedita a caselle di email private (nello specifico di Alice e Gmail) degli agenti interessati.

Insomma, a dispetto delle roboanti dichiarazioni riguardo la messa in atto di piani nazionali di cyber-security, in Italia il livello di alfabetizzazione nella pubblica amministrazione (e in particolar modo a livello dell’esecutivo) rimane scarsissimo.



Articoli correlati

Altro in questa categoria


Un esperto della Homeland Security: “abbiamo hackerato un Boeing 757”


L’esperimento risale al settembre 2016 e tutti i dettagli sono top secret. L’attacco è stato portato in remoto, senza che i piloti si accorgessero di nulla.

È uno degli incubi legati alla sicurezza informatica che si concretizza: la possibilità di violare i sistemi di un aeroplano senza che sia necessario avere accesso fisico ai sistemi.

Come riporta Avionics, a portare a termine l’attacco è stato un team che fa capo al Dipartimento della Homeland Security (DHS) che ha reso pubblica la notizia nel corso del CyberSat Summit 2017 che si è tenuto la scorsa settimana a Tysons Corner, Virginia.

Stando a ciò che si è potuto sapere, la violazione del Boeing 757 ha richiesto due giorni di lavoro ed è avvenuta “attraverso le comunicazioni su frequenze radio”. Insomma: i sistemi dell’aeroplano sono stati violati in remoto, senza la necessità di accedere fisicamente ai sistemi.

hackerato Boeing 757

Il velivolo vittima dell’attacco è un Boeing 757, un modello quindi piuttosto vecchio, che è fuori produzione dal 2004. Molti esemplari però sono ancora utilizzati, per esempio dal Presidente degli Stati Uniti Donald Trump e dal suo vice Mike Pence.

A condurre il test è stato Robert Hickey, della Cyber Security Division all’interno del DHS Science and Technology (S&T) Directorate. Le sue parole non lasciano dubbi: “nessuno ha toccata l’aeroplano e non avevamo un infiltrato. Abbiamo usato classici strumenti che vengono usati per le violazioni di sistemi del genere e siamo stati in grado di stabilire una presenza sul velivolo”.

In passato si è già parlato di attacchi hacker ai danni dei sistemi informatici installati sugli aeroplani di linea in occasione delle clamorose rivelazioni da parte di Chris Roberts, un hacker che è stato arrestato dall’FBI dopo aver ammesso (denunciato sarebbe più corretto) di essere riuscito a infiltrarsi nei sistemi attraverso il Wi-Fi utilizzato dai sistemi di entertainment presenti sui velivoli.

La notizia di una violazione a distanza attraverso le comunicazioni radio apre decisamente inquietanti e, soprattutto, la necessità di rivedere i sistemi di sicurezza a bordo. Anche se è improbabile che i velivoli più recenti soffrano delle stesse vulnerabilità.



Articoli correlati

Altro in questa categoria


La CIA nelle sue operazioni faceva finta di essere… Kaspersky!


Nuove rivelazioni di WikiLeaks. Nel codice di un tool della CIA c’è un falso certificato digitale a nome dell’azienda russa.

Le schermaglie tra il governo USA e la società di sicurezza di Eugene Kaspersky non sembrano essere destinate a fermarsi. Anche perché più passa il tempo, più si ha la sensazione che dalle parti di Washington abbiano preso gusto a fare dispetti alla società di sicurezza russa.

L’ultimo emerge con la prima pubblicazione della serie Vault 8 di WikiLeaks, cioè la “fase due” delle rivelazioni che il sito di Julian Assange dedica agli strumenti di hacking utilizzati dalla CIA.

Terminata la serie di leak denominati Vault 7, che ha riguardato esclusivamente la documentazione relativa agli strumenti informatici usati dagli 007 statunitensi, ora l’organizzazione di Assange è passata alla pubblicazione del codice sorgente dei tool, che stando a quanto si legge sulle pagine del sito non conteranno comunque exploit o codice che possa rappresentare un “assist” per i cyber-criminali.

La prima uscita del nuovo corso riguarda HIVE, il sistema di server “nascosti” che la Central Intelligence Agency utilizza per far passare inosservate le comunicazioni dai computer compromessi ai server Command and Control.

All’interno del codice, però, sono stati trovati anche alcuni certificati digitali falsi, usati per l’installazione degli “impianti” (così gli agenti americani definiscono i loro malware) sui computer presi di mira nelle loro operazioni.

E qui arriva la sorpresa: tra le tante possibili società che avrebbero potuto scegliere per camuffare l’origine dei loro software, gli sviluppatori della CIA hanno scelto proprio Kaspersky.

CIA Kaspersky

Il certificato risulta essere stato rilasciato da Thawte Premium Server CA, Cape Town. Peccato che sia falso e che il malware che lo utilizza non c’entri nulla con Kaspersky.

Dopo il polverone sollevato nei mesi scorsi dal governo statunitense si scopre quindi che è tutto vero: c’è qualcuno che usa l’antivirus Kaspersky come paravento per operazioni di spionaggio. Solo che a farlo non sono i servizi segreti russi, ma la CIA.

Eugene Kaspersky, per il momento, sulla vicenda ha rilasciato solo un laconico commento: “Abbiamo investigato riguardo le rivelazioni contenute nel rapporto Vault 8 e possiamo confermare che i certificati a nostro nome sono falsi. Le nostre chiavi private, servizi e clienti sono al sicuro e non hanno subito alcuna compromissione”.



Articoli correlati

Altro in questa categoria


Aspiranti pirati vogliono farsi la botnet, ma diventano… bot!


Il tool gratuito avrebbe dovuto permettergli di individuare dispositivi IoT vulnerabili agli attacchi. Ma l’autore dentro ci ha messo una backdoor.

La via per diventare pirati informatici è lunga e costellata di pericoli. Non solo per il rischio di finire in manette, ma anche perché nel periodo di apprendimento è terribilmente facile finire vittima di qualche “collega” più esperto.

Lo hanno sperimentato sulla propria pelle un numero imprecisato di aspiranti hacker, che hanno ceduto alla tentazione di usare una “scorciatoia” per entrare nel magico mondo della pirateria informatica.

A tentarli è stata l’offerta di uno strumento gratuito che prometteva di eseguire scansioni su Internet per individuare dispositivi della Internet of Things (di solito si tratta di videocamere di sorveglianza) equipaggiati con server GoAhead e vulnerabili a una tecnica di attacco che consente di controllarli in remoto.

Il loro sogno di crearsi una botnet come Reaper (ne abbiamo parlato in questo articolo) si è però sgretolato miseramente, trasformandosi nel più classico degli epic fail.

Come riporta Ankit Anubhav di NewSky Security, infatti, il tool che hanno utilizzato conteneva una backdoor in grado di accedere in remoto alla macchina e installarvi un trojan per Linux.

botnet backdoor

Un tool gratuito per rintracciare e violare dispositivi IoT su Internet? Fantastico! Usiamolo subito!

Il tool, pubblicato su un forum dedicato all’hacking, si chiama NEW IPCAM EXPLOIT ed è uno script in PHP. Il codice (e questo secondo il ricercatore avrebbe già dovuto mettere sul chi va là gli aspiranti hacker) è però offuscato e contiene più moduli.

Il primo è quello pubblicizzato dall’autore e consente effettivamente di ricercare e violare i dispositivi IoT vulnerabili all’attacco.

Diverse le funzioni dei moduli successivi. Lo script, infatti, crea un nuovo utente con privilegi di root sul sistema e usa IPLogger per registrare l’indirizzo IP della macchina. Infine scarica e installa Kaiten, un trojan per Linux piuttosto conosciuto.

botnet backdoor

Lo script agisce in una maniera piuttosto differente da come il suo utilizzatore si aspetterebbe.

A questo punto, quindi, il computer dell’aspirante hacker è sotto il controllo dell’autore del tool, che non solo può sfruttarlo come bot ma dal quale può anche rubare tutte le informazioni presenti sul suo computer.

Come fa notare lo stesso Anubhav, hackerare un hacker è estremamente vantaggioso. “Se la vittima controlla una botnet di 10.000 dispositivi IoT, l’intera botnet passa sotto il controllo dell’autore della backdoor. Violando un singolo computer ne può controllare migliaia”.



Articoli correlati

Altro in questa categoria


Il gruppo di cyber-spionaggio Sowbug prende di mira Sud America e Asia


Professionali e pazienti: sono riusciti a navigare “sotto i radar” dal 2015. Ecco come operano per colpire ambasciate e ministeri.

Il pantheon dei gruppi di cyber-spioni si arricchisce di una new-entry. Il gruppo è stato battezzato con il nome di Sowbug e si colloca di diritto tra i più pericolosi e insidiosi.

A svelare l’esistenza del gruppo ci ha pensato Symantec, che in un report pubblicato sul blog ufficiale della società di sicurezza ne descrive (in parte) tecniche e modalità di azione.

Scriviamo “in parte” perché sul modus operandi di Sowbug si sa ancora pochino. Secondo i ricercatori si tratterebbe di un gruppo che opera con grande cautela, pianificando con attenzione gli attacchi e prendendo di mira bersagli di alto livello tra cui enti diplomatici e legati al mondo della politica.

Symantec ha ricostruito attacchi che hanno preso di mira istituzioni in Perù, Ecuador, Brasile, Argentina, Brunei e Malesia.

Le prime azioni del gruppo rilevate risalgono al maggio 2015, quando il gruppo avrebbe proceduto all’esfiltrazione di alcuni documenti presenti sui sistemi del ministero degli esteri di un paese sudamericano.

Sowbug cyber-spionaggio

Fino a oggi, i gruppi dediti al cyber-spionaggio sembravano concentrarsi sul Medioriente, il sud-est asiatico e l’Europa orientale. È la prima volta che si rileva una campagna così strutturata che prende di mira il Sud America.

La descrizione dell’azione la dice lunga sul tipo di attività svolta da Sowbug. Il file eseguibile caricato sui sistemi era infatti programmato per estrarre da un archivio compresso in formato RAR tutti i documenti Word modificati successivamente a una data specifica (11 maggio 2015) e trasmetterli via Internet.

Secondo quanto riporta Symantec, l’azione si è ripetuta in seguito, ma con parametri diversi: questa volta infatti la finestra temporale individuata era stata spostata a 4 giorni prima, cioè al 7 maggio 2015.

Insomma: un comportamento che fa presumere che i cyber-spioni fossero alla ricerca di un documento specifico e che, non avendolo trovato al primo tentativo, abbiano allargato il campo di ricerca.

La cronaca riportata da Symantec conferma questa ipotesi. In seguito, infatti, i pirati avrebbero allargato la ricerca comprendendo anche le unità di memoria rimuovibili e le cartelle condivise in remoto collegate in qualche modo all’ente preso di mira.

Un’operazione che si è protratta per la bellezza di quattro mesi, nel corso dei quali gli hacker di Sowbug avrebbero anche collocato due malware (al momento sconosciuti) sui server dell’organizzazione compromessa e analizzato tutte le risorse di rete alla ricerca di documenti di loro interesse.

L’attività di Sowbug, d’altra parte, si caratterizza per l’approccio ispirato alla massima prudenza. Secondo gli analisti che ne hanno studiato l’azione, uno degli strumenti utilizzati dal gruppo sarebbe una backdoor chiamata Felismus.

Si tratterebbe di un trojan modulare, che i pirati mimetizzano memorizzandone i file all’interno di directory “insospettabili” e usando nomi che richiamano quelli di programmi di suo comune come Adobe Reader.

Nulla si sa, invece, riguardo al vettore di attacco usato dai pirati per colpire i computer. L’ipotesi è che utilizzino falsi aggiornamenti di software utilizzati dalle vittime, ma la ricostruzione del loro modus operandi che si può leggere nel rapporto si limita a individuare un loader (chiamato Starloader) che avrebbero usato in alcune delle loro azioni.



Articoli correlati

Altro in questa categoria