1.137.893 di account di Libero nelle underground. Abilitate la Multi Factor Authentication!

Il disservizio che ha coinvolto Libero e Virgilio negli ultimi giorni, ci ha portato all’attenzione quanto siano fragili le autenticazioni con utenza e password e quanto siano preziose tali informazioni per i criminali informatici.

Infatti nel corso degli ultimi 5gg, tra attività di phishing e attività di pubblicazione di combolist, ne abbiamo viste di tutti i colori. Questo perché il crimine informatico sfrutta i fatti di attualità abbinati alle debolezze delle persone per ottenere il massimo profitto.

Abbiamo quindi analizzato meglio questo fenomeno a livello numerico, andando ad effettuare delle correlazioni tra le diverse combolist che sono state pubblicate nelle underground in questi ultimi 5gg che contenevano indirizzi e password con dominio “libero.it”.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ripetiamo: non si tratta di un attacco informatico a Libero!

Ma questi eventi ci hanno portato all’attenzione quanti modi possono esistere per carpire tali credenziali di accesso di posta elettronica agli utenti di qualsiasi email protetta da user e password e quanto mai risulti necessaria la Multi Factor Authentication (MFA) per poterci mettere al riparo.

1.137.893 di account di Libero nelle underground. L’analisi delle combolist

Abbiamo quindi analizzato le combolist messe a disposizione gratuitamente nelle underground che sono le seguenti:

• 30k libero it.txt
• 73k Italy [ Crew…Teams ].txt
• 200k Libero it.txt
• 500K UHQ COMBOLIST GOOD FOR ITALY (libero.it).txt
• 361k Italian B2C Phone Numbers.xlsx

Per prima cosa abbiamo prelevato le utenze e le password presenti in questi file e creato una tabella che contenesse tutte le credenziali utente e le rispettive password. Tale lista conteneva ben 1.305.125 account di libero.it

A questo punto, visto che le caselle di posta (l’username per intenderci) risultava duplicato, abbiamo voluto sapere con precisione quante fossero le email univoche.

Dopo aver effettuata una “group by”, il risultato è stato pari a 1.137.893 caselle di posta univoche con password con un abbattimento del 12% rispetto al totale complessivo per duplicazione account.

Ma la duplicazione degli account non era per l’intera tupla utenza e password. Infatti andando a confrontare le combo, abbiamo trovato account duplicati, ma questi con password differenti. Questo sta a significare che tali password sono state prelevate in momenti diversi dal client delle vittime.

Analisi sulle password presenti nelle combolist

Come potete vedere nella prossima print screen, l’analisi delle password su più combolist, ci consente di identificare specifici “pattern” utilizzati dagli utenti. Questo ci consente di tentare di individuare una successiva password basandosi sulle tipologie di password riportate in precedenza.

Ad esempio, se una prima password e “gladio77”, una successiva è “gladiatore”, una potenziale successiva password potrebbe essere:

• gladiatore22
• gladiatore23
• gladiatore2023
• gladio2023

e via discorrendo.

Ovviamente, alcune di queste email sono ripetute per molte volte all’interno del dataset.

Alcune di queste ben 119 volte come viene riportato nella print screen successiva.

Abbiamo anche voluto effettuare un controllo sulla “freschezza” delle password. Generalmente una password che riporta una stringa pari a “2022” o “2023”, sta a significare che l’aggiornamento di tale password è venuta in quell’anno specifico.

Anche in questo caso, sono state rilevate molte password attuali, chiaro sintomo di una combolist recente con dati che potenzialmente possono portare alla compromissione dell’account di posta elettronica.

Molte meno le password afferenti al 2023, anche tenendo conto che ci troviamo al 30/01/2023, giorno di quando stiamo scrivendo questo articolo.

Conclusioni

Dobbiamo essere molto attenti e comprendere bene il fenomeno delle combolist e delle botnet.

Non occorre focalizzarsi tanto sul fatto che questi dati siano recenti o vecchi, ma su cosa sia possibile fare con questi dati. Ad esempio, quante persone non hanno mai cambiato la password su un qualche servizio con il quale si sono registrati con l’account e la password utilizzata su Libero? Questo è il fenomeno del password reuse, ovvero la possibilità di “riutilizzare ” quella coppia utente e password su altri servizi.

Le attività di phishing che stanno in questo momento mettendo sotto pressione gli utenti di Libero e Virgilio, sono frutto di queste informazioni che consentono di creare campagne di phishing mirate o massive, partendo da insiemi congruenti di account specifici.

Oggi non basta la sola password per proteggere un account di posta elettronica. Occorre qualora possibile utilizzare la Multi Factor Authentication (MFA), come riportato da Libero Stesso in questo articolo. Una password altamente robusta utilizzata su un computer infetto da infostealer, equivale ad avere una password inutile.

Pertanto, il secondo fattore di autenticazione ci consente, anche conoscendo la password, di non accedere all’account in quanto occorre digitare un ulteriore codice che viene inviato tramite SMS solo al terminale mobile del titolare dell’account e ha una scadenza a breve termine.

Libero infatti riporta all’interno del suo sito quanto segue:

“Scegliendo un account di posta elettronica di Libero Mail gli utenti potranno attivare facilmente il servizio e a ogni accesso dopo aver inserito le credenziali – email e password – sarà inviato un codice di verifica in automatico via SMS al numero di telefono associato all’account dell’utente. Il servizio è pensato per aggiungere un ulteriore livello di protezione alla casella di posta elettronica: se un malintenzionato è riuscito a rubare la password dell’account, ad esempio nel caso di un attacco di phishing, senza il codice di verifica via SMS l’accesso sarà bloccato.”

Pertanto oggi occorre utilizzare SEMPRE, dove è presente, il servizio di MFA, sia su Libero ma anche sui social network, dove da molto tempo tale tecnologia è stata implementata e funziona correttamente.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.