Nel gergo dei forum underground e dei marketplace del cybercrime, il termine combo indica un insieme di credenziali rubate composto da coppie del tipo email:password.
Non si tratta di semplici elenchi disordinati, ma di veri e propri database strutturati contenenti migliaia e a volte milioni di accessi che i criminali utilizzano per alimentare attività come furti di identità, frodi finanziarie, spam mirato e attacchi di credential stuffing.
Una combo può essere composta da dati provenienti da violazioni di database (ad esempio dalla pubblicazione dei dati dei gruppi ransomware), da campagne di phishing, da infostealer o da raccolte manuali effettuate tramite bot automatizzati.
Avvio delle iscrizioni al corso Cyber Offensive Fundamentals
Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica?
La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima.
Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
Più è grande, più è preziosa per gli attori malevoli, soprattutto quando contiene credenziali “fresh” (fresche) appartenenti a utenti italiani o a specifici settori considerati redditizi.
Perché le combo sono così utili ai criminali
Le combo rappresentano un enorme vantaggio operativo per i cyber criminali. Permettono utilizzarle direttamente se sprovviste di MFA, sfruttare il fatto che molti utenti riutilizzano la stessa credenziale su più piattaforme (password reuse). Questo apre la strada agli attacchi automatizzati contro webmail, social network, e-commerce e servizi bancari.
Inoltre, una combo “fresca” permette ai gruppi di cybercrime di alimentare servizi a pagamento come log shop, proxy residenziali compromessi, campagne di spam o ransomware basate su accessi reali. In molti casi, gli attaccanti combinano più fonti di dati, incrociando email e password con indirizzi IP, impronte del browser, numeri di telefono o dettagli sensibili ottenuti tramite altri malware.
Come vengono raccolte le credenziali
Una delle fonti principali è rappresentata dagli infostealer, malware specializzati nel rubare password salvate nel browser, cookie di sessione, credenziali FTP, wallet di criptovalute e informazioni personali. Tra i più diffusi negli ultimi anni ci sono RedLine, Raccoon, Vidar e Lumma, spesso distribuiti tramite campagne molto ampie e continue.
Accanto agli infostealer, i criminali raccolgono credenziali da leak pubblici, da database rubati durante intrusioni nei server, oppure tramite phishing mirato. Ogni informazione sottratta viene poi aggregata, pulita e inserita in una combo pronta per essere venduta o scambiata su forum clandestini o gruppi Telegram.
I metodi di infezione più comuni
La diffusione degli infostealer avviene principalmente tramite download di programmi pirata, crack, keygen e software gratuiti trovati su siti non ufficiali. È uno dei vettori più efficaci perché colpisce utenti alla ricerca di contenuti gratuiti e quindi meno attenti alla sicurezza. Una singola esecuzione del malware è sufficiente per esfiltrare tutte le credenziali memorizzate nel dispositivo.
Altro vettore molto utilizzato è l’email phishing che simula comunicazioni legittime e induce l’utente a scaricare allegati malevoli o ad accedere a pagine di login fasulle. Seguono poi gli infostealer distribuiti tramite pubblicità ingannevole, pacchetti software manipolati o siti clonati che inducono a effettuare download dannosi.
Come proteggersi dalla compromissione delle credenziali
La principale difesa è la consapevolezza al rischio.
Evitare il riutilizzo della stessa password su più servizi, adottando invece password manager affidabili che generano e memorizzano credenziali complesse. Attivare l’autenticazione a due fattori rappresenta un ulteriore livello di sicurezza che riduce drasticamente la possibilità di accesso non autorizzato anche in caso di furto dei dati.
È altrettanto importante evitare di scaricare software da fonti non ufficiali, mantene il sistema aggiornato e diffidare dei link o allegati sospetti. Verificare periodicamente se la propria email compare in database pubblici di leak può aiutare a intervenire tempestivamente in caso di compromissione.
E voi lo fate tutti?
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.
Aree di competenza:Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber
La storia di Ilya Lichtenstein, l’hacker responsabile di uno degli attacchi informatici più grandi mai compiuti contro le criptovalute, appare come un episodio di una serie TV, eppure è assolutamente reale. Dopo essere stato rilasciato,…
Se c’erano ancora dubbi sul fatto che le principali aziende mondiali di intelligenza artificiale fossero d’accordo sulla direzione dell’IA, o sulla velocità con cui dovrebbe arrivarci, questi dubbi sono stati dissipati al World Economic Forum…
Una settimana fa, il CEO di Cursor, Michael Truell, ha annunciato un risultato presumibilmente straordinario. Ha affermato che, utilizzando GPT-5.2, Cursor ha creato un browser in grado di funzionare ininterrottamente per un’intera settimana. Questo browser…
L’Italia si conferma uno degli obiettivi principali della campagna di attacchi DDoS portata avanti dal gruppo hacktivista NoName057(16). Secondo quanto dichiarato direttamente dal collettivo, il nostro Paese ha subito 487 attacchi informatici tra ottobre 2024…
La domanda ritorna ciclicamente da oltre dieci anni: uno smartphone può davvero sostituire un computer? Nel tempo, l’industria ha provato più volte a dare una risposta concreta, senza mai arrivare a una soluzione definitiva. Dai…
