Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Migliaia di credenziali di Italiani Online! Cosa sono le Combo list, tra botnet, infostealer e protezione

Simone D'Agostino : 10 Giugno 2024 07:02

Una minaccia sempre più crescente sta emergendo con forza: sono le Combo list.

Su RHC ne abbiamo parlato a lungo, si tratta di elenchi di credenziali rubate che rappresentano un pericolo significativo per la sicurezza informatica. In questo articolo, esploreremo cosa sono le Combo list, come funzionano e l’impatto che possono avere sulla nostra sicurezza digitale e come difendersi.

Cosa sono le Combo list

Le Combo list sono raccolte di dati sottratti da varie violazioni di sicurezza, solitamente contenenti combinazioni di indirizzi email e password. Questi dati vengono aggregati e poi messi in vendita nei mercati clandestini del dark web e su canali di telegram underground.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]




Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Spesso vengono anche regalate per fidelizzare i follower in appositi canali di rivendita di informazioni. La loro popolarità è dovuta all’ampia disponibilità anche gratuita o al prezzo spesso accessibile, rendendole uno strumento potente nelle mani dei cyber criminali.

Tecniche di raccolta e di verifica

 I criminali usano diverse tecniche per ottenere queste informazioni, i principali sono:

  • Data breach: attacchi informatici precedentemente eseguiti da cyber gang ransomware o da precedenti perdite di dati;
  • Infostealer: Software dannoso che raccoglie log sui computer (come ad esempio quanto viene digitato sulla tastiera l’utenza e la password o la raccolta di informazioni archiviate sul sistema) delle vittime che sono stati inseriti in botnet specifiche.
  • Attacchi di forza bruta: Tentativi automatizzati di indovinare le password mediante tentativi ripetuti.

Una volta raccolti, i dati vengono sottoposti a processi di correlazione e generazione delle combo list. Le raccolte più avanzate effettuano specifiche verifiche per comprendere se tali credenziali sono valide e possono includere la verifica se gli indirizzi email sono ancora attivi e se le password associate funzionano ancora.

Esistono anche opportuni market dove è possibile acquistare specifiche credenziali (simili al vecchio Genesis), dove è possibile anche testare che tale credenziale risulti ancora funzionante prima del pagamento.

Esempio di market underground che mette in vendita differenti credenziali utente, dove è possibile testare il corretto funzionamento prima dell’acquisto. in questo caso si tratta di credenziali di CPanel.

Nelle mondo delle combo list invece i dati vengono organizzati in elenchi massivi, suddivisi per tipo di servizio (ad esempio, servizi di posta elettronica, piattaforme social, ecc.).

Distribuzione tramite piattaforme di messaggistica

Le piattaforme di messaggistica criptate sono diventate il principale canale di distribuzione per queste liste. Questi canali permettono ai cybercriminali di operare con un alto livello di anonimato, rendendo difficile tracciare le attività illecite. Gli aggiornamenti e le nuove liste vengono condivisi regolarmente, mantenendo alta la domanda e l’offerta di credenziali compromesse.

L’accesso a queste liste permette ai cybercriminali di effettuare diversi tipi di attacchi:

  • Credential stuffing: Utilizzo di combinazioni di email e password per accedere a vari servizi online, sfruttando il fatto che molte persone utilizzano le stesse credenziali per diversi account.
  • Account takeover (ATO): L’ATO si verifica quando un attaccante riesce a prendere il controllo di un account utilizzando credenziali rubate. Una volta ottenuto l’accesso, l’attaccante può:
    • Modificare le informazioni dell’account per impedire all’utente legittimo di riprendere il controllo.
    • Utilizzare l’account per compiere ulteriori attività fraudolente, come acquisti non autorizzati, trasferimenti di denaro o l’invio di email di phishing.
    • Rubare informazioni personali sensibili memorizzate nell’account, aumentando il rischio di furto di identità.
  • Phishing secondario: Utilizzo di account compromessi per inviare email di phishing ad altri utenti, sfruttando la fiducia che questi potrebbero avere nei confronti del mittente.
  • Attacchi di ingegneria sociale: Utilizzo delle informazioni presenti nelle Combo list per convincere le vittime a fornire ulteriori dati sensibili o a compiere azioni dannose.
  • Vendita di informazioni personali: Le informazioni rubate possono essere vendute ulteriormente nel dark web, aumentando il rischio di furto di identità e frodi finanziarie.

Verificare delle proprie credenziali

Esistono diversi strumenti online che permettono di verificare se le proprie credenziali sono state compromesse in una violazione di dati note:

  • Have I Been Pwned: Consente agli utenti di inserire il proprio indirizzo email, la password e il numero di telefono, per verificare se è stato coinvolto in una violazione di dati.
  • Firefox Monitor: Offerto da Mozilla, questo strumento avvisa gli utenti se le loro informazioni sono state trovate in un database di dati compromessi.
  • DeHashed: Un motore di ricerca che permette di verificare se le proprie informazioni personali, inclusi indirizzi email e numeri di telefono, sono stati esposti in una violazione di dati.
  • BreachAlarm: Un servizio che monitora il dark web e altre fonti per rilevare se le proprie credenziali sono state compromesse.

Metodi di difesa e prevenzione

Per difendersi da queste minacce, è essenziale adottare misure di sicurezza robuste:

  • Autenticazione a due fattori (2FA): Aggiunge un ulteriore livello di protezione oltre alla semplice password, rendendo molto più difficile per gli attaccanti accedere agli account.
  • Password complesse e uniche: Utilizzare password diverse e complesse per ogni servizio, riducendo il rischio che una singola violazione comprometta più account.
  • Monitoraggio attivo: Utilizzare servizi che avvisano in caso di violazioni e tenere sotto controllo i propri account, permettendo una risposta rapida in caso di attività sospette.
  • Educazione e consapevolezza: Educare gli utenti sull’importanza della sicurezza delle credenziali e su come riconoscere tentativi di phishing e altre tecniche di inganno.
  • Verifica periodica: Utilizzare strumenti come quelli menzionati per verificare regolarmente se le proprie credenziali sono state compromesse.

Conclusioni

Le Combo list rappresentano una seria minaccia nel mondo della sicurezza informatica. La loro crescente popolarità e accessibilità richiedono un approccio attento alla sicurezza personale e aziendale. Solo attraverso una combinazione di consapevolezza, tecnologia e pratiche di sicurezza avanzate possiamo sperare di contrastare efficacemente questa insidiosa tendenza.

Simone D'agostino
Nato a Roma, con oltre 30 anni in Polizia di Stato, oggi è Sostituto Commissario alla SOSC Polizia Postale Udine. Esperto in indagini web e dark web, è appassionato di OSInt, che ha insegnato alla Scuola Allievi Agenti di Trieste. Ha conseguito un Master in Intelligence & ICT all'Università di Udine (110 e lode), sviluppando quattro modelli IA per contrastare le frodi su fondi UE. È impegnato nella formazione per elevare la sicurezza cibernetica.

Lista degli articoli

Articoli in evidenza

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
Di Redazione RHC - 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
Di Redazione RHC - 04/09/2025

Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...

Nuova Campagna MintsLoader: Buovi Attacchi di Phishing tramite PEC sono in corso
Di Redazione RHC - 04/09/2025

Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...