Si parla spesso di attacchi alle credenziali e del fatto che oggi fra gli obiettivi principali degli attaccanti ci sono le combinazioni di username e password che consentono ai criminali informatici l’accesso alle infrastrutture aziendali. Non a caso l’abuso di credenziali è il vettore d’attacco più diffuso. Questa informazione potrebbe lasciar pensare che gli unici account a cui bisogna prestare la massima attenzione siano quelli aziendali, ma non è così. Lo dimostra lo studio Your stolen data for sale condotto da Trend Micro, da cui emerge che il sito con le credenziali più rubate è Google, seguito da Live.com, Facebook e Instagram.

Il motivo è che le cosiddette credenziali web (insieme ai dati relativi ai crypto wallet) sono quelle a rischio maggiore per via della loro disponibilità e facilità di monetizzazione. Solo dopo arrivano le credenziali FTP e VPN, mentre quelle del Wi-Fi e gli screenshot dei desktop non sembrano essere facili da rivendere, risultando quindi meno a rischio. La questione in realtà è molto semplice e si rifà alla industrializzazione del cybercrime e alle figure verticali specifiche che si occupano del furto e della rivendita di credenziali, ossia gli Initial Access Broker. Guadagnando dalla vendita di credenziali, gli IAB hanno principalmente due opzioni: proporre pacchetti corposi di credenziali, che ovviamente si ottengono colpendo bacini molto ampi come quelli di Google e dei social network, oppure proporre poche credenziali altamente scelte e di grande valore, avute a seguito di un lungo e complesso lavoro.

Quello che riguarda questa ricerca di Trend Micro è la prima opzione. In genere i grandi pacchetti vengono composti usando strumenti molto diffusi come gli infostealer, ossia malware di facile reperibilità nel dark web che in genere si diffondono mediante campagne di spam. I ricercatori hanno confrontato le sedici varianti di malware infostealer più attive nei mercati illegali del dark web e hanno misurato quanto un dato rubato sia a rischio, una volta in mano a un cybercriminale o a un truffatore, in funzione di due parametri: la “data actionability” ovvero il valore economico che il dato rubato può generare e la “market availability”, la facilità con cui si può reperire un certo tipo di dato nei marketplace del dark web.

Perché questo studio è importante

Lo studio ha portato a tre indicazioni importanti. La prima è che solo una piccola e selezionata percentuale degli infostealer in circolazione è così diffusa nel darkweb, quindi le organizzazioni dovrebbero concentrarsi solo sugli infostealer più popolari nel dark web per difendersi. La seconda è che per bloccare il furto di credenziali web mediante infostealer è sufficiente usare un gestore di password, che evita di digitare le credenziali o di visualizzarle in chiaro sullo schermo. Terza e ultima indicazione, per i possessori di criptovalute: i cripto-asset dovrebbero essere considerati come i contanti e per questo motivo è fortemente consigliato l’uso di una cassaforte digitale.