Come le credenziali della tua posta finiscono in cattive mani e come vengono monetizzate

Qualunque cosa può essere monetizzata online, specialmente le credenziali della tua posta. Ecco come la tua casella di posta può essere abusata.

The english version of this article is here.

Le botnet sono uno dei principali canali di distribuzione di email di phishing e malware. Una botnet può essere composta da centinaia di migliaia di dispositivi compromessi (soprattutto dispositivi IoT) e il centro di comando e controllo (C&C) coordina le attività di tutti questi dispositivi.

Un tempo i bot si collegavano direttamente al server di posta di destinazione per cercare di consegnare le mail malevole ma è facile identificare e bloccare questi tentativi. Inviare mail malevole da account legittimi è molto più efficace: la reputazione è buona (le mail arrivano da grandi operatori come Google o Microsoft), le mail malevole sono tecnicamente identiche a quelle legittime e questo rende la vita più difficile per i filtri antispam, quindi queste mail hanno maggiori probabilità di finire nella inbox del destinatario.

Il C&C periodicamente distribuisce ai bot credenziali valide e fresche, pronte per essere abusate per l’invio di robaccia a nome dei legittimi proprietari di questi account. Ma come fanno ad ottenere le credenziali del tuo account di posta?

La prima sorgente di credenziali sono i data breach. Ce ne sono tantissimi, più di quanto immagini. Ho cancellato la sottoscrizione alle notifiche di privacyrights.org perché erano troppe: 828 database sono divenuti pubblici nel 2018 per un totale di oltre 1,3 miliardi di record. Circa 2,2 breach al giorno. Un sacco di dati.

I data breach contengono credenziali, che di solito sono un indirizzo email e una password. Troppi utenti riutilizzano la stessa password su più servizi e questo significa che tantissimi di questi record contengono credenziali valide di account di posta elettronica, pronti per essere abusati. Il C&C raccoglie e distribuisce queste credenziali ai bot.

E gli account per i quali le password nel breach non sono valide? Si può sempre indovinarle.

Molti utenti usano password molto semplici: la password più usata nell’intero pianeta è “123456”, seguita da “password”, al terzo posto abbiamo “123456789”, poi “12345678” e via così. All’ottava posizione troviamo “sunshine”, seguita da “qwerty”, poi “iloveyou”, “princess” … Moltissime password sono parole presenti nei dizionari, moltissime sono nomi di persona, date, combinazioni di questi due o variazioni semplici come ad esempio “monkey2018”.

Non servono tanti tentativi per indovinare la password di moltissimi account di posta, con poche migliaia di tentativi se ne trovano moltissime e se hai a disposizione una botnet puoi fare centinaia di migliaia di tentativi contemporaneamente, ciascuno da un diverso indirizzo IP, senza neanche allertare i sistemi di protezione basati sul “rate-limiting”.

Tutto chiaro?

Ora: cosa puoi fare per prevenirlo e rilassarti un po’?

Primo: usa una password diversa per ogni servizio. I data breach succedono continuamente, se vai su haveibeenpwned.com e inserisci il tuo indirizzo email probabilmente scoprii che le tue credenziali sono già pubbliche. Se usi la stessa password ovunque, un singolo data breach compromette tutti i tuoi account, quindi non farlo. Usa una password diversa per ogni servizio.

A questo punto puoi essere tentato di scegliere una tecnica “smart” per generare tante password diverse dalla stessa radice. Ad esempio monkey_linkedin, monkey_facebook_2019 e così via.

Non è così smart. Queste variazioni vengono tutte tentate e scoperte nel giro di minuti quando si può fare centinaia di migliaia di tentativi contemporaneamente. Non pensare di poter contrastare gli attacchi a forza bruta con le tue limitate risorse di memoria cerebrale.

Entropia è la parola chiave. Ti dirò qualcosa che non ti piacerà: se puoi memorizzarla è a bassa entropia e se è a bassa entropia può essere scoperta facilmente. Questo significa che se puoi memorizzarla non è sufficientemente robusta. Tutto qui.

L’unico modo di avere password che non possono essere scoperte facilmente è di avere password ad alta entropia, questo significa che non puoi memorizzarle. Mi dispiace ma qualcuno doveva dirtelo.

Un password manager è la soluzione migliore: con uno sforzo minimo puoi gestire centinaia di password ad alta entropia, resistenti ad attacchi a forza bruta e tutte diverse tra loro.

Posso capire che un password manager possa essere un grande ostacolo per tua zia e (ma non voglio aprire una discussione), personalmente penso che per alcune persone una alternativa decente possa essere quella di scrivere le password su carta. Si, sono più vulnerabili ma sono offline e alla fine è molto meglio rispetto ad avere una password debole.

La sicurezza è compromesso. Scegli il tuo compromesso ma non ignorare questo: se la puoi memorizzare, non è abbastanza robusta.

2 commenti su “Come le credenziali della tua posta finiscono in cattive mani e come vengono monetizzate

  • Il mio problema è che le mie password sono semplici ma, nonostante tutto, non riesco a memorizzarle 😀
    A parte gli scherzi, sto lentamente passando al sistema da te descritto, uso keepass2 su android e mi baso suo fatto che ho sempre lo smartphone con me.
    L’ideale sarebbe la generazione e rilevazione di qr codes, come fa ormai qualche banca, ma probabilmente è difficile da implementare.
    Molto interessante, grazie

  • Ciao Maurizio, anche io uso keepass2 sia su pc che su telefono.
    Le password prima o poi moriranno, ci sono diversi tentativi di superarle ma quello che secondo me è più promettente funziona proprio come lo descrivi tu:
    https://www.grc.com/sqrl/sqrl.htm

    C’è anche un sistema completamente cartaceo che è parecchio intelligente, io lo uso per la password del keyring e del pc:
    https://www.saccani.net/off-the-grid-un-sistema-semplice-password-veramente-sicura/

    Ciao

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *