Migliaia di credenziali di Italiani Online! Cosa sono le Combo list, tra botnet, infostealer e protezione

Simone D'Agostino : 10 Giugno 2024 07:02

Una minaccia sempre più crescente sta emergendo con forza: sono le Combo list.

Su RHC ne abbiamo parlato a lungo, si tratta di elenchi di credenziali rubate che rappresentano un pericolo significativo per la sicurezza informatica. In questo articolo, esploreremo cosa sono le Combo list, come funzionano e l’impatto che possono avere sulla nostra sicurezza digitale e come difendersi.

Cosa sono le Combo list

Le Combo list sono raccolte di dati sottratti da varie violazioni di sicurezza, solitamente contenenti combinazioni di indirizzi email e password. Questi dati vengono aggregati e poi messi in vendita nei mercati clandestini del dark web e su canali di telegram underground.

Spesso vengono anche regalate per fidelizzare i follower in appositi canali di rivendita di informazioni. La loro popolarità è dovuta all’ampia disponibilità anche gratuita o al prezzo spesso accessibile, rendendole uno strumento potente nelle mani dei cyber criminali.

Tecniche di raccolta e di verifica

 I criminali usano diverse tecniche per ottenere queste informazioni, i principali sono:

• Data breach: attacchi informatici precedentemente eseguiti da cyber gang ransomware o da precedenti perdite di dati;
• Infostealer: Software dannoso che raccoglie log sui computer (come ad esempio quanto viene digitato sulla tastiera l’utenza e la password o la raccolta di informazioni archiviate sul sistema) delle vittime che sono stati inseriti in botnet specifiche.
• Attacchi di forza bruta: Tentativi automatizzati di indovinare le password mediante tentativi ripetuti.

Una volta raccolti, i dati vengono sottoposti a processi di correlazione e generazione delle combo list. Le raccolte più avanzate effettuano specifiche verifiche per comprendere se tali credenziali sono valide e possono includere la verifica se gli indirizzi email sono ancora attivi e se le password associate funzionano ancora.

Esistono anche opportuni market dove è possibile acquistare specifiche credenziali (simili al vecchio Genesis), dove è possibile anche testare che tale credenziale risulti ancora funzionante prima del pagamento.

Nelle mondo delle combo list invece i dati vengono organizzati in elenchi massivi, suddivisi per tipo di servizio (ad esempio, servizi di posta elettronica, piattaforme social, ecc.).

Distribuzione tramite piattaforme di messaggistica

Le piattaforme di messaggistica criptate sono diventate il principale canale di distribuzione per queste liste. Questi canali permettono ai cybercriminali di operare con un alto livello di anonimato, rendendo difficile tracciare le attività illecite. Gli aggiornamenti e le nuove liste vengono condivisi regolarmente, mantenendo alta la domanda e l’offerta di credenziali compromesse.

L’accesso a queste liste permette ai cybercriminali di effettuare diversi tipi di attacchi:

• Credential stuffing: Utilizzo di combinazioni di email e password per accedere a vari servizi online, sfruttando il fatto che molte persone utilizzano le stesse credenziali per diversi account.
• Account takeover (ATO): L’ATO si verifica quando un attaccante riesce a prendere il controllo di un account utilizzando credenziali rubate. Una volta ottenuto l’accesso, l’attaccante può:
  • Modificare le informazioni dell’account per impedire all’utente legittimo di riprendere il controllo.
  • Utilizzare l’account per compiere ulteriori attività fraudolente, come acquisti non autorizzati, trasferimenti di denaro o l’invio di email di phishing.
  • Rubare informazioni personali sensibili memorizzate nell’account, aumentando il rischio di furto di identità.
• Phishing secondario: Utilizzo di account compromessi per inviare email di phishing ad altri utenti, sfruttando la fiducia che questi potrebbero avere nei confronti del mittente.
• Attacchi di ingegneria sociale: Utilizzo delle informazioni presenti nelle Combo list per convincere le vittime a fornire ulteriori dati sensibili o a compiere azioni dannose.
• Vendita di informazioni personali: Le informazioni rubate possono essere vendute ulteriormente nel dark web, aumentando il rischio di furto di identità e frodi finanziarie.

Verificare delle proprie credenziali

Esistono diversi strumenti online che permettono di verificare se le proprie credenziali sono state compromesse in una violazione di dati note:

• Have I Been Pwned: Consente agli utenti di inserire il proprio indirizzo email, la password e il numero di telefono, per verificare se è stato coinvolto in una violazione di dati.
• Firefox Monitor: Offerto da Mozilla, questo strumento avvisa gli utenti se le loro informazioni sono state trovate in un database di dati compromessi.
• DeHashed: Un motore di ricerca che permette di verificare se le proprie informazioni personali, inclusi indirizzi email e numeri di telefono, sono stati esposti in una violazione di dati.
• BreachAlarm: Un servizio che monitora il dark web e altre fonti per rilevare se le proprie credenziali sono state compromesse.

Metodi di difesa e prevenzione

Per difendersi da queste minacce, è essenziale adottare misure di sicurezza robuste:

• Autenticazione a due fattori (2FA): Aggiunge un ulteriore livello di protezione oltre alla semplice password, rendendo molto più difficile per gli attaccanti accedere agli account.
• Password complesse e uniche: Utilizzare password diverse e complesse per ogni servizio, riducendo il rischio che una singola violazione comprometta più account.
• Monitoraggio attivo: Utilizzare servizi che avvisano in caso di violazioni e tenere sotto controllo i propri account, permettendo una risposta rapida in caso di attività sospette.
• Educazione e consapevolezza: Educare gli utenti sull’importanza della sicurezza delle credenziali e su come riconoscere tentativi di phishing e altre tecniche di inganno.
• Verifica periodica: Utilizzare strumenti come quelli menzionati per verificare regolarmente se le proprie credenziali sono state compromesse.

Conclusioni

Le Combo list rappresentano una seria minaccia nel mondo della sicurezza informatica. La loro crescente popolarità e accessibilità richiedono un approccio attento alla sicurezza personale e aziendale. Solo attraverso una combinazione di consapevolezza, tecnologia e pratiche di sicurezza avanzate possiamo sperare di contrastare efficacemente questa insidiosa tendenza.

Simone D'agostino
Nato a Roma, con oltre 30 anni in Polizia di Stato, oggi è Sostituto Commissario alla SOSC Polizia Postale Udine. Esperto in indagini web e dark web, è appassionato di OSInt, che ha insegnato alla Scuola Allievi Agenti di Trieste. Ha conseguito un Master in Intelligence & ICT all'Università di Udine (110 e lode), sviluppando quattro modelli IA per contrastare le frodi su fondi UE. È impegnato nella formazione per elevare la sicurezza cibernetica.

Lista degli articoli