Come le credenziali della tua posta finiscono in cattive mani e come vengono monetizzate

Come le credenziali della tua posta finiscono in cattive mani e come vengono monetizzate

Qualunque cosa può essere monetizzata online, specialmente le credenziali della tua posta. Ecco come la tua casella di posta può essere abusata.

Le botnet sono uno dei principali canali di distribuzione di email di phishing e malware. Una botnet può essere composta da centinaia di migliaia di dispositivi compromessi (soprattutto dispositivi IoT) e il centro di comando e controllo (C&C) coordina le attività di tutti questi dispositivi.

Un tempo i bot si collegavano direttamente al server di posta di destinazione per cercare di consegnare le mail malevole ma è facile identificare e bloccare questi tentativi. Inviare mail malevole da account legittimi è molto più efficace: la reputazione è buona (le mail arrivano da grandi operatori come Google o Microsoft), le mail malevole sono tecnicamente identiche a quelle legittime e questo rende la vita più difficile per i filtri antispam, quindi queste mail hanno maggiori probabilità di finire nella inbox del destinatario.

Il C&C periodicamente distribuisce ai bot credenziali valide e fresche, pronte per essere abusate per l’invio di robaccia a nome dei legittimi proprietari di questi account. Ma come fanno ad ottenere le credenziali del tuo account di posta?

No alt text provided for this image

La prima sorgente di credenziali sono i data breach. Ce ne sono tantissimi, più di quanto immagini. Ho cancellato la sottoscrizione alle notifiche di privacyrights.org perché erano troppe: 828 database sono divenuti pubblici nel 2018 per un totale di oltre 1,3 miliardi di record. Circa 2,2 breach al giorno. Un sacco di dati.

I data breach contengono credenziali, che di solito sono un indirizzo email e una password. Troppi utenti riutilizzano la stessa password su più servizi e questo significa che tantissimi di questi record contengono credenziali valide di account di posta elettronica, pronti per essere abusati. Il C&C raccoglie e distribuisce queste credenziali ai bot.

E gli account per i quali le password nel breach non sono valide? Si può sempre indovinarle.

Molti utenti usano password molto semplici: la password più usata nell’intero pianeta è “123456”, seguita da “password”, al terzo posto abbiamo “123456789”, poi “12345678” e via così. All’ottava posizione troviamo “sunshine”, seguita da “qwerty”, poi “iloveyou”, “princess” … Moltissime password sono parole presenti nei dizionari, moltissime sono nomi di persona, date, combinazioni di questi due o variazioni semplici come ad esempio “monkey2018”.

Non servono tanti tentativi per indovinare la password di moltissimi account di posta, con poche migliaia di tentativi se ne trovano moltissime e se hai a disposizione una botnet puoi fare centinaia di migliaia di tentativi contemporaneamente, ciascuno da un diverso indirizzo IP, senza neanche allertare i sistemi di protezione basati sul “rate-limiting”.

Tutto chiaro?

Ora: cosa puoi fare per prevenirlo e rilassarti un po’?

No alt text provided for this image

Primo: usa una password diversa per ogni servizio. I data breach succedono continuamente, se vai su haveibeenpwned.com e inserisci il tuo indirizzo email probabilmente scoprii che le tue credenziali sono già pubbliche. Se usi la stessa password ovunque, un singolo data breach compromette tutti i tuoi account, quindi non farlo. Usa una password diversa per ogni servizio.

A questo punto puoi essere tentato di scegliere una tecnica “smart” per generare tante password diverse dalla stessa radice. Ad esempio monkey_linkedin, monkey_facebook_2019 e così via.

Non è così smart. Queste variazioni vengono tutte tentate e scoperte nel giro di minuti quando si può fare centinaia di migliaia di tentativi contemporaneamente. Non pensare di poter contrastare gli attacchi a forza bruta con le tue limitate risorse di memoria cerebrale.

Entropia è la parola chiave. Ti dirò qualcosa che non ti piacerà: se puoi memorizzarla è a bassa entropia e se è a bassa entropia può essere scoperta facilmente. Questo significa che se puoi memorizzarla non è sufficientemente robusta. Tutto qui.

L’unico modo di avere password che non possono essere scoperte facilmente è di avere password ad alta entropia, questo significa che non puoi memorizzarle. Mi dispiace ma qualcuno doveva dirtelo.

Un password manager è la soluzione migliore: con uno sforzo minimo puoi gestire centinaia di password ad alta entropia, resistenti ad attacchi a forza bruta e tutte diverse tra loro.

Posso capire che un password manager possa essere un grande ostacolo per tua zia e (ma non voglio aprire una discussione), personalmente penso che per alcune persone una alternativa decente possa essere quella di scrivere le password su carta. Si, sono più vulnerabili ma sono offline e alla fine è molto meglio rispetto ad avere una password debole.

La sicurezza è compromesso. Scegli il tuo compromesso ma non ignorare questo: se la puoi memorizzare, non è abbastanza robusta.

E se la mia password facile da ricordare fosse " Hotantavoglia diandare invacanza e poca di lavorare! " poi magari ci metto il servizio gmmail  libbero likkedin etc etc "  credo che così facendo  anche un bot potrebbe andare in difficoltà, inoltre ci aggiungo un pochino di sicurezza configurando magari avvisi comportamentali  e magari risolvo. Che ne pensi ?

Per visualizzare o aggiungere un commento, accedi

Altre pagine consultate