Italiano Inglese

Web tracker e password: il più grande database di account rubati è online

Un miliardo e 400 milioni di voci perfettamente organizzate, tra account, mail e password rubate. Un database immenso offerto, anche in forma gratuita, a tutti i frequentatori del deep web, ossia quella parte di Web “sommersa in cui vengono svolte tantissime attività, da quelle più discutibili e illegali (come la vendita di documenti falsi) ad altre molto più “tranquille”. Sostanzialmente parliamo di siti che non si trovano facendo delle normali ricerche su un motore di ricerca, come Google, e che possono essere visitati solo sfruttando una rete di anonimizzazione chiamata TOR (acronimo di The Onion Router) ossia un sistema di anonimizzazione gratuito che permette di nascondere il proprio indirizzo IP e la propria identità in Rete “rimbalzando” la connessione fra vari computer sparsi in tutto il mondo. Un archivio di dati trafugati immenso che può essere potenzialmente pericoloso: l’ultimo aggiornamento risalente a novembre 2017, per esempio, tra i tanti nuovi dati messi online offrirebbe anche gli indirizzi della Rai, di alcuni quotidiani, della Sapienza di Roma, della Difesa, di banche, ministeri e pubbliche amministrazioni, oltre quelli legati a privati, istituzioni e imprese di tutto il mondo. Un database che include un pò di tutto quindi, tra password vecchie e nuove ci sono infatti anche account ormai inutilizzati ma utilizzabili per ricostruire storici di password. Quale sia lo scopo di tale raccolta è per lo più sconosciuto poiché al massimo vengono richiesti Bitcoin in donazione e non pagamenti per un archivio che è gratuito (e che da poco è diventato accessibile anche fuori dal deep web tramite un link Torrent pubblicato su Reddit). Un valore nullo quindi nell’ecosistema criminale informatico ma che può però portar a riflettere nuovamente sull’importanza della sicurezza sul web.

Ma come si può trafugare un account e una password ad un ignaro utente? Di solito gli hacker amano usare le vulnerabilità di quei sistemi di compilazione automatica delle credenziali integrati in browser e sistemi operativi. A volte si scopre però che anche “autorevoli” società di marketing e di analytics sfruttano mezzi simili come è stato scoperto grazie a script all’interno delle pagine Web da parte di Adthink (audienceinsights.net) e OnAudience (behavioralengine.com). Quei dati che sarebbero dovuti essere anonimi vengono ottenuti dalle due aziende citate attraverso un “trucchetto” che prevede l’inserimento di un campo di registrazione nascosto, non nella pagina iniziale che richiede il login ma in una qualsiasi pagina successiva, che si attiva in maniera autonoma quando il sistema di compilazione automatica lo riconosce come un reale login e fornisce così l’username, che spesso corrisponde all’email, del visitatore. Tali indirizzi recuperati verrebbero poi mandati insieme ad altri informazioni di ogni tipo (da quelle di carattere economico-finanziario a quelle personali) al server dell’azienda per creare profili più precisi sull’account trafugato. Informazioni più specifiche sugli utenti, infatti, corrispondono a compensi maggiori da parte dei vari clienti.

Come proteggersi da questo tipo di profilazione? Gli esperti consigliano di utilizzare un ad-blocker o, in alternativa, disattivare i sistemi di compilazione automatica integrati nei browser, sostituendoli magari con un password manager che richieda la master password ogni volta che si accede a un sito che richiede il login. Tutto sta nello scegliere a riguardo una password adeguata al suo ruolo, capace di non aprire la strada facilmente ad hacker e pirati informatici perché, nonostante i tanti consigli ed avvertimenti dati sul tema in questi anni sembra impossibile ma la password ancora più usata al mondo è: “123456”. Un dato sconsolante che arriva da una ricerca di “SplashData” sull’analisi di circa 5.000.000 credenziali rubate dai pirati informatici e pubblicate su Internet. In questa particolare classifica oltre al classico primo posto di “123456” seguono password come “welcome”, “hello” e, naturalmente “password”. La maggior parte degli utenti continua quindi ad usare password assolutamente prevedibili, nonostante i tanti corsi di formazione, i software che indicano la robustezza delle password e le continue notizie legate alle violazioni di account provocate proprio dalla sciatteria nella scelta delle parole di accesso.

Magra consolazione per tutti noi utenti è che spesso anche degli hacker sbadati possano sbagliare, come nel caso del gruppo Cobalt, famoso per aver colpito numerosi istituti finanziari dal 2016 ad oggi. Il gruppo sfruttando una vulnerabilità di Office particolarmente insidiosa (in grado di avviare automaticamente software malevolo all’apertura di un semplice documento Word con estensione .RTF) da inizio dicembre ha iniziato una campagna molto massiccia di distribuzione del suo malware. Ma anche i “professionisti” sbagliano e in una delle email di phishing inviata il 21 novembre alle potenziali vittime hanno inserito gli indirizzi dei destinatari nel campo “A:” e non in quello “Ccn:” (Copia conoscenza nascosta) che viene utilizzato di solito per impedire che il destinatario si accorga che l’email è stata inviata anche a qualcun altro. E quindi un errore da principianti, forse a causa della fretta o di una semplice distrazione, ha permesso ai ricercatori delle società di sicurezza di risalire agli obiettivi degli attacchi (per la precisione circa 1880 indirizzi di posta elettronica che fanno riferimento a un gran numero di banche del Kazakistan, ma anche di altri paesi tra cui Stati Uniti, Olanda, Austria, Russia, Kuwait e Italia) e prendere le opportune contromisure. Ma non sempre si è così fortunati, la prima forma di difesa sul web rimane quindi sempre la stessa: noi stessi. 

Gianluca Cimini

Gianluca Cimini - Web tracker e password