1.137.893 di account di Libero nelle underground. Abilitate la Multi Factor Authentication!

Il disservizio che ha coinvolto Libero e Virgilio negli ultimi giorni, ci ha portato all’attenzione quanto siano fragili le autenticazioni con utenza e password e quanto siano preziose tali informazioni per i criminali informatici.

Infatti nel corso degli ultimi 5gg, tra attività di phishing e attività di pubblicazione di combolist, ne abbiamo viste di tutti i colori. Questo perché il crimine informatico sfrutta i fatti di attualità abbinati alle debolezze delle persone per ottenere il massimo profitto.

Abbiamo quindi analizzato meglio questo fenomeno a livello numerico, andando ad effettuare delle correlazioni tra le diverse combolist che sono state pubblicate nelle underground in questi ultimi 5gg che contenevano indirizzi e password con dominio “libero.it”.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ripetiamo: non si tratta di un attacco informatico a Libero!

Ma questi eventi ci hanno portato all’attenzione quanti modi possono esistere per carpire tali credenziali di accesso di posta elettronica agli utenti di qualsiasi email protetta da user e password e quanto mai risulti necessaria la Multi Factor Authentication (MFA) per poterci mettere al riparo.

1.137.893 di account di Libero nelle underground. L’analisi delle combolist

Abbiamo quindi analizzato le combolist messe a disposizione gratuitamente nelle underground che sono le seguenti:

• 30k libero it.txt
• 73k Italy [ Crew…Teams ].txt
• 200k Libero it.txt
• 500K UHQ COMBOLIST GOOD FOR ITALY (libero.it).txt
• 361k Italian B2C Phone Numbers.xlsx

Per prima cosa abbiamo prelevato le utenze e le password presenti in questi file e creato una tabella che contenesse tutte le credenziali utente e le rispettive password. Tale lista conteneva ben 1.305.125 account di libero.it

A questo punto, visto che le caselle di posta (l’username per intenderci) risultava duplicato, abbiamo voluto sapere con precisione quante fossero le email univoche.

Dopo aver effettuata una “group by”, il risultato è stato pari a 1.137.893 caselle di posta univoche con password con un abbattimento del 12% rispetto al totale complessivo per duplicazione account.

Ma la duplicazione degli account non era per l’intera tupla utenza e password. Infatti andando a confrontare le combo, abbiamo trovato account duplicati, ma questi con password differenti. Questo sta a significare che tali password sono state prelevate in momenti diversi dal client delle vittime.

Analisi sulle password presenti nelle combolist

Come potete vedere nella prossima print screen, l’analisi delle password su più combolist, ci consente di identificare specifici “pattern” utilizzati dagli utenti. Questo ci consente di tentare di individuare una successiva password basandosi sulle tipologie di password riportate in precedenza.

Ad esempio, se una prima password e “gladio77”, una successiva è “gladiatore”, una potenziale successiva password potrebbe essere:

• gladiatore22
• gladiatore23
• gladiatore2023
• gladio2023

e via discorrendo.

Ovviamente, alcune di queste email sono ripetute per molte volte all’interno del dataset.

Alcune di queste ben 119 volte come viene riportato nella print screen successiva.

Abbiamo anche voluto effettuare un controllo sulla “freschezza” delle password. Generalmente una password che riporta una stringa pari a “2022” o “2023”, sta a significare che l’aggiornamento di tale password è venuta in quell’anno specifico.

Anche in questo caso, sono state rilevate molte password attuali, chiaro sintomo di una combolist recente con dati che potenzialmente possono portare alla compromissione dell’account di posta elettronica.

Molte meno le password afferenti al 2023, anche tenendo conto che ci troviamo al 30/01/2023, giorno di quando stiamo scrivendo questo articolo.

Conclusioni

Dobbiamo essere molto attenti e comprendere bene il fenomeno delle combolist e delle botnet.

Non occorre focalizzarsi tanto sul fatto che questi dati siano recenti o vecchi, ma su cosa sia possibile fare con questi dati. Ad esempio, quante persone non hanno mai cambiato la password su un qualche servizio con il quale si sono registrati con l’account e la password utilizzata su Libero? Questo è il fenomeno del password reuse, ovvero la possibilità di “riutilizzare ” quella coppia utente e password su altri servizi.

Le attività di phishing che stanno in questo momento mettendo sotto pressione gli utenti di Libero e Virgilio, sono frutto di queste informazioni che consentono di creare campagne di phishing mirate o massive, partendo da insiemi congruenti di account specifici.

Oggi non basta la sola password per proteggere un account di posta elettronica. Occorre qualora possibile utilizzare la Multi Factor Authentication (MFA), come riportato da Libero Stesso in questo articolo. Una password altamente robusta utilizzata su un computer infetto da infostealer, equivale ad avere una password inutile.

Pertanto, il secondo fattore di autenticazione ci consente, anche conoscendo la password, di non accedere all’account in quanto occorre digitare un ulteriore codice che viene inviato tramite SMS solo al terminale mobile del titolare dell’account e ha una scadenza a breve termine.

Libero infatti riporta all’interno del suo sito quanto segue:

“Scegliendo un account di posta elettronica di Libero Mail gli utenti potranno attivare facilmente il servizio e a ogni accesso dopo aver inserito le credenziali – email e password – sarà inviato un codice di verifica in automatico via SMS al numero di telefono associato all’account dell’utente. Il servizio è pensato per aggiungere un ulteriore livello di protezione alla casella di posta elettronica: se un malintenzionato è riuscito a rubare la password dell’account, ad esempio nel caso di un attacco di phishing, senza il codice di verifica via SMS l’accesso sarà bloccato.”

Pertanto oggi occorre utilizzare SEMPRE, dove è presente, il servizio di MFA, sia su Libero ma anche sui social network, dove da molto tempo tale tecnologia è stata implementata e funziona correttamente.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.