Nei mercati underground continuano a circolare grandi raccolte di credenziali appartenenti a utenti italiani, organizzate nelle cosiddette combo list. Non si tratta di una novità assoluta nel panorama del cybercrime, ma ciò che colpisce in questo caso è il modo in cui questi dataset vengono distribuiti: all’interno di veri e propri marketplace strutturati come un “Amazon dei dati rubati”.
In questi negozi clandestini gli acquirenti possono sfogliare cataloghi organizzati, con schede prodotto, prezzi, venditori e perfino la possibilità di acquistare campioni dei dati prima di effettuare un acquisto completo.
All’interno della piattaforma non si trovano soltanto combo list, ma anche numerosi altri asset utilizzati nel cybercrime, tra cui:
Advertising
accessi RDP (Remote Desktop Protocol) a server compromessi
strumenti e servizi correlati alle attività fraudolente
Il modello ricalca piattaforme già osservate negli anni passati nel mondo underground: un’interfaccia semplice, un sistema di venditori e feedback, e cataloghi suddivisi per Paese o per tipologia di dati.
Milioni di credenziali italiane aggregate
La particolarità emersa analizzando questi marketplace è la presenza simultanea di numerose raccolte dedicate esclusivamente a utenti italiani. Ogni singola combo list può contenere milioni di coppie email:password, e sommando i diversi dataset in vendita si arriva facilmente a numeri complessivi di molte decine di milioni di credenziali.
Un elemento particolarmente significativo riguarda proprio la quantità di dati disponibili. Analizzando soltanto la prima schermata del marketplace, composta da 9 pagine di risultati, emerge che i dataset elencati contengono complessivamente circa 77,8 milioni di credenziali riconducibili a utenti italiani. Si tratta quindi soltanto di una porzione dell’offerta complessiva disponibile all’interno della piattaforma.
Le inserzioni spesso indicano anche la qualità del dataset, il numero di record e la provenienza presunta dei dati, anche se queste informazioni non sono sempre verificabili. In molti casi si tratta di aggregazioni di leak provenienti da violazioni avvenute negli anni precedenti, riorganizzate e rivendute.
Perché le combo list sono ancora utili ai criminali
Anche quando le credenziali non sono più aggiornate o provengono da vecchie violazioni, rimangono estremamente utili per diversi tipi di attività criminali.
Advertising
Il motivo principale è il riutilizzo delle password. Molti utenti utilizzano la stessa password su più servizi; di conseguenza una credenziale sottratta da un sito può funzionare su altri account della stessa persona.
I criminali utilizzano queste liste per effettuare:
Credential stuffing: tentativi automatici di login su numerosi servizi utilizzando le credenziali della combo list.
Account takeover: accesso non autorizzato a servizi come e-mail, social network o piattaforme online.
Frodi finanziarie: accesso a servizi di pagamento o piattaforme di e-commerce se le credenziali coincidono.
Spam e phishing: utilizzo di account compromessi per inviare campagne malevole con maggiore credibilità.
Raccolta di informazioni personali per ulteriori attacchi mirati.
Il valore di avere più credenziali della stessa persona
Quando all’interno di una combo list compaiono più credenziali appartenenti alla stessa persona, il valore per i cybercriminali aumenta. Con più combinazioni email e password associate a un individuo diventa più semplice:
ricostruire la presenza digitale della vittima
individuare altri servizi utilizzati
accedere all’account email principale, che spesso rappresenta la chiave per il recupero di molti altri account
Inoltre, se una password compare più volte associata allo stesso indirizzo email o a vari servizi, aumenta la probabilità che sia ancora riutilizzata altrove.
Un ecosistema criminale sempre più organizzato
La presenza di marketplace strutturati come veri negozi online dimostra ancora una volta il livello di organizzazione raggiunto dall’economia del cybercrime. I dati rubati vengono trattati come qualsiasi altro prodotto digitale: catalogati, descritti, venduti e distribuiti su larga scala.
Anche se molte delle credenziali in circolazione provengono da violazioni avvenute anni fa, la loro aggregazione in grandi dataset e la facilità con cui possono essere acquistate e utilizzate continua a rappresentare un rischio significativo per utenti e organizzazioni.
Per questo motivo rimane fondamentale adottare alcune pratiche di sicurezza di base:
monitorare eventuali esposizioni dei propri account in data breach pubblici
Le combo list non sono un fenomeno nuovo, ma la loro continua riorganizzazione e commercializzazione dimostra come i dati rubati possano mantenere valore nel tempo all’interno dell’economia underground.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.