Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Davide Santoro : 17 Gennaio 2024 07:15
All’interno del principale market cinese nel darkweb conosciuto come Cabyc Market vengono venduti 900.000 dati di accesso italiani(email e password). Ma andiamo ad approfondire meglio il market, cosa vende e, soprattutto, i nostri dati in mani poco rassicuranti…
Possiamo renderci immediatamente conto come il market sia un luogo aperto dove singoli venditori possono pubblicare i propri annunci così da vendere i propri “prodotti”.
Al primo posto figura la vendita di dati, dati sottratti ad aziende, società, paesi che possono essere utilizzati sia come accesso iniziale e sia come studio ed analisi della corrispondenza. Così da scalare verso nuovi mittenti e nuovi destinatari (magari più appetibili) le proprie azioni criminali.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ovviamente ci siamo concentrati sulla vendita di dati italiani, lo abbiamo ripetuto più e più volte ma è sempre bene ricordarlo. I dati una volta finiti in Rete sono persi per sempre e, spesso, possono essere un canale di accesso per programmare attacchi ransomware, spionaggio industriale, furti d’identità (purtroppo sempre più frequentemente con tutte le conseguenze legali del caso), ingegneria sociale sui soggetti così da tracciarne un profilo via via più dettagliato, campagne di phishing e molto altro.
All’interno del market è presente un annuncio, datato 31-12-2023, tramite il quale è possibile acquistare 900.000 dati di account italiani, vediamo l’annuncio ed il relativo screen:
L’annuncio è estremamente chiaro, è prevista la vendita di 900.000 dati di accesso italiani per 49$ pagabili nelle seguenti criptovalute: ETH, BTC, USDT-ERC20, USDT-TRC20 e l’invio del file contenente i dati all’acquirente avverrà tramite la piattaforma Mega, ovviamente assolutamente incolpevole.
Entriamo ora nel vivo della questione ed andiamo ad analizzare il sample messo dal venditore opportunamente editato lasciando visibile il dato che ci interessa davvero, ovvero le password:
Eccoci arrivati al vero tasto “dolente, all’eterno dolore”, ovvero le password utilizzate per gli account e come queste siano assolutamente errate, inefficienti e soffrano della vecchia malattia italiana di dover mettere password che si possano ricordare a memoria o, quantomeno, facilmente trascrivibili su post-it, fogli di carta ecc…
Ma se queste password sono totalmente errate, come dovrebbe essere una password?
Se è troppo complessa, poi come faccio a ricordarmela? Io utilizzo diversi account e, quindi, diverse password (non farete mica password re-use, vero?), sicuramente mi confonderò e non riuscirò più a ricordarmi le password dei vari account, ma è davvero così? O, meglio, come fanno le persone “skillate” a ricordarsi le password?
Se siete arrivati fino a qui avete già capito che è ora di buttare post-it, fogli A4, agende con password segnate in punti sconosciuti e di passare ad uno strumento semplice, intuitivo, gratuito ma soprattutto sicuro per memorizzare le nostre password (e generarne di nuove, come vedremo in seguito)
Schermata di KeePass, un password manager che consente di salvare le proprie password suddividendole per categorie, queste che vediamo nello screen sono quelle di default ma ovviamente è possibile crearne delle altre così da organizzare al meglio le proprie password, andiamo a creare una entry con una password:
Questa è la schermata che ci apparirà quando andremo a creare la entry che ci interessa, ovviamente ho reso la password visibile(con le impostazioni di default che dopo modificheremo) per darvi un’idea di quello di cui stiamo parlando, la password che Keepass genera di default è una password ovviamente alfanumerica di 20 caratteri(quindi nulla a che vedere con le password che abbiamo visto sopra), ora però divertiamoci un po’ a modificare le impostazioni del “password generator” cliccando sulla chiave sotto ai tre puntini ed andando ad impostare la password da generare con i criteri che vogliamo:
Questa sarà la schermata che vedremo:
Lasciamo per buona la lunghezza ed andiamo a selezionare le seguenti voci: “Minus, Underline, Special, Brackets”:
A questo punto alla voce “Profile” vedremo la dicitura “Custom”, andiamo a cliccare sul dischetto con la matita ed a salvare questo nuovo profilo, a questo punto clicchiamo su “OK” per chiudere la finestra in questione e vedremo una finestra simile:
Come possiamo vedere la nuova password rispetta il profilo da noi precedentemente indicato, è uscita una password molto robusta che non ha niente a che vedere con le password che abbiamo visto all’inizio dell’articolo, che ovviamente è impossibile da ricordare e che andremo quindi a salvare cliccando “OK”
Eco qui la entry del nostro test salvata correttamente
Cliccando con il tasto destro è possibile fare varie azioni, tra le quali copiare la password ed eccola qui:
p7@y]pF:ZqE”0C6SuJL]
Questo è – ovviamente a grandi linee ed ad un livello molto basico – l’utilizzo del KeePass, il password manager che ci accompagna nella gestione e nella creazione di password complesse per i nostri account.
Esistono vari siti che permettono di verificare la sicurezza di una password, uno dei più utilizzati si chiama proprio “How Secure Is My Password” gestito da security.org, andiamo a vederlo insieme facendo due test, il primo con una delle password in vendita nel market cinese ed il secondo con la password che abbiamo creato poco fa.
Tra le password in vendita ho scelto “forzanapoli” ottenendo un risultato assai deludente ed ampiamente previsto, in pratica avere un account con una password del genere è un invito a farsi bucare ma, a differenza di una password seria, non è una sfida, è proprio un modo per mandare un messaggio tipo “Ehi sono qui e sono pronto ad essere bucato, non mi interessa nulla se i miei account vengono compromessi, anzi vi lascio la porta aperta e vi invito ad entrare”.
Andiamo ora a vedere la password che abbiamo creato poco fa, vediamo quanto tempo impiegherebbe un computer a craccare la nostra password:
Ecco che per bucare la password che abbiamo creato poco fa con Kee Pass un computer impiegherebbe 3 sestilioni di anni, orientativamente un numero così:
3.000.000.000.000.000.000.000 di anni
Direi che gli screen parlino da soli e non servano ulteriori commenti in merito al grado di sicurezza delle due password
Davide SantoroIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
