Cerca nel blog

2009/10/09

Password rubate come se piovesse

Phishing, password rubate a decine di migliaia di utenti


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Se avete una casella di posta Hotmail, MSN, Live, Gmail o AOL, Yahoo, cambiate la password. E' stata scoperta su Internet una serie di liste contenenti decine di migliaia di indirizzi di e-mail, principalmente europei, insieme alle password corrispondenti.

Si tratta di indirizzi di utenti di Hotmail.com, Live.com, Msn.com, Gmail, Yahoo, Comcast, AOL, Earthlink e di molti altri fornitori di caselle di posta.

La lista era stata depositata il primo ottobre su Pastebin.com, un sito usato comunemente dai programmatori per condividere le proprie soluzioni e che non è responsabile del fattaccio. Non precipitatevi a cercarla per vedere se contiene la password del vostro partner o del collega antipatico: la lista è già stata rimossa.

Le principali società di sicurezza informatica raccomandano a ogni utente di questi servizi di cambiare la propria password appena possibile e di cambiarla anche negli altri siti dove l'ha usata. Gli utenti, infatti, rischiano non solo di farsi leggere o cancellare la posta, ma anche di vedersi abusati online da malintenzionati che inviano e-mail spacciandosi per loro o usano la loro casella di posta per inviare spam. C'è di peggio: siccome circa il 40% degli utenti usa la stessa password per più di un sito o servizio, è facile che i criminali abbiano accesso ad altre loro attività in Rete.

Le password sembrano essere state rubate usando la classica tecnica del phishing: la vittima riceve una mail che sembra provenire dal servizio clienti della sua casella di e-mail e che lo invita a visitare il sito del servizio clienti stesso per una verifica dei dati, motivata dall'urgenza di risolvere un problema in realtà inesistente. La mail contiene anche un comodo link cliccabile, che però non porta al sito del servizio clienti, ma a quello dei malviventi, che è visivamente identico a quello vero. Se l'utente immette i propri codici di accesso, li regala ai criminali.

Stando a Scansafe.com, però, è possibile che questo recente elenco d'indirizzi non provenga da un phishing semplice, ma da un attacco effettuando iniettando nei computer delle vittime un keylogger che registra le password digitate e le invia ai malviventi.

Molti programmi di navigazione offrono o possono aggiungere una funzione che avvisa di questo genere di siti-trappola. Conviene attivarla oppure scaricarla e installarla: ce n'è una gratuita per esempio presso Netcraft.com. Prendete comunque l'abitudine di non fidarvi dei link che trovate nei messaggi di posta che sembrano arrivare da banche, enti, negozi o fornitori di servizi.

Va detto che questo genere di lista è abbastanza frequente in Rete: basta saper cercare nei posti giusti. Secondo The Register, inoltre, non si tratta di un evento particolarmente insolito neanche in termini di scala, tanto che una lista di 10.000 indirizzi ha un valore di mercato, per così dire, di una novantina di dollari.

27 commenti:

Rado il Figo ha detto...

Scusa, non ho capito: ma solo a chi è caduto nel phishing è stata rubata la password, oppure è possibile che sia stata carpita in altra maniera?

p.s.: "sere" per "serie"

Luigi Rosa ha detto...

Oltre che con il phishing e il keylogging le password si possono rubare tramite:

* attacco al DNS (tu digiti www.google.com, ma il tuo DNS e' sotto il mio controllo e anziche' restituirti un IP di Google ti restituisce un IP di un sito civetta che ti zanza la password)

* furto di file con le credenziali (una persona (anche il tecnico che ti sistema il PC) mette le mani sul contenuto del disco o su un backup, ti zanza il file con le password registrate e se lo decritta con calma)

* presunzione che uno utilizzi la medesima password per piu' servizi (il gestore di un forum (ad esempio) poco onesto prova la password immessa per l'account del forum per entrare sull'account di posta elettronica specificato all'iscrizione)

La prima cosa da fare prima di porsi troppe domande IMHO e' cambiare password: alla peggio e' un eccesso di zelo.

Van Fanel ha detto...

attacco al DNS

Per la cronaca, dell'attacco al DNS Paolo parlò già qui.

zio Feng ha detto...

@Luigi Rosa

i gestori dei forum non hanno disponibilità delle password in chiaro, almeno con i sistemi di autentificazione standard, naturalmente potrebbero ricorrere alla forza bruta per indovinarla, fare però intendere che le password siano così accessibili è un po' esagerato, almeno lo spero!

markogts ha detto...

Tre domande:

- la prima, quoto Rado. Non sono mai caduto nella trappola del phisihing, sono a rischio lo stesso? Cmq ho cambiato la password, a scanso di equivoci.
-Attacco al DNS: uso OpenDNS, che ne pensate?
-Netcraft antiphishing toolbar: non basta già il servizio di Firefox di segnalazione di pagine pericolose?

Alpert ha detto...

vorrei segnalarvi questo articolo che "svela il trucco" che sta dietro a questo problema..

Luigi Rosa ha detto...

zio Feng: una gestore che utilizza un forum per impossessarsi delle password altrui ha mille modi per rubare le password all'utente. Senza entrare in dettaglio, basta ricordare che il sorgente del software della gestione del forum e' in mano al gestore del forum medesimo. E ho detto tutto.

Kikka ha detto...

io a scanso equivoci ho cambiato immediatamente le pasword a tutte le mie caselle postali, tanto non costa nulla, se non il ricordarsi le nuove pasword. e comunque di solito presto attenzione alle mail che mi puzzano e se devo connettermi con qualche servizio non lo faccio trmite i comodi linck cliccabili, ma chiudo la posta e mi connetto al sito. però immagino che ci sia sempre il modo di zanzarti la pasword, quidni magari un cambiamento randomico della pasword un minimo ti protegge, che dite?

Nicola S. ha detto...

Io le cambio ogni mese, tanto non le devo ricordare visto che se le ricorda il mio sensore biometrico.

interceptor ha detto...

* presunzione che uno utilizzi la medesima password per piu' servizi (il gestore di un forum (ad esempio) poco onesto prova la password immessa per l'account del forum per entrare sull'account di posta elettronica specificato all'iscrizione)

Acc! Beccato!
Non ci avevo mai pensato...
Vado a cambiare le password

L.

Lorenzo Breda ha detto...

afaik, per quanto riguarda le caselle Gmail, Google si è occupata di resettare la password ai suoi utenti colpiti, costringendoli a cambiarla.

Resta il fatto che è buona norma cambiare la propria password con una certa frequenza.

Elena ha detto...

avoglia a cambiare la password, se hai un keylogger nel computer.

Federico ha detto...

i gestori dei forum non hanno disponibilità delle password in chiaro, almeno con i sistemi di autentificazione standard, naturalmente potrebbero ricorrere alla forza bruta per indovinarla, fare però intendere che le password siano così accessibili è un po' esagerato, almeno lo spero!

Le password sono spedite in chiaro, per forza!
E sono spedite in chiaro anche se si utilizza HTTPS.

Generalmente i gestori di un forum o di un qualsiasi sito con registrazione memorizzano le password in chiaro, e questo è molto male! Ma anche se le memorizzano cifrate hanno pieno accesso alle password in chiaro sempre e comunque!

Quindi... fate attenzione!

zio Feng ha detto...

@Federico @Luigi Rosa

quello che volevo dire è che di solito nei database le password non sono registrate in chiaro, ma è registrato il loro hash, il sistema di autentificazione non compara le password ma l'hash prodotto da quello che digito e quello registrato nel database, teoricamente potrei loggarmi con una password diversa ma avente lo stesso hash.

In questo caso anche se conosco l'hash non potrò risalire alla password, oppure dovrò usare la forza bruta.

Io gestivo un sito in cui chiedevo agli utenti di loggarsi e per mio scrupolo facevo così, non ho mai registrato le password in chiaro degli utenti, non so neanche se sia lecito.

E' naturale poi che una persona senza scrupoli possa fare quello che vuole, infatti è per questo che parlavo di procedure standard.

Comunque concordo fate attenzione e non usate le stesse password per ogni sito!

alessandro ha detto...

"per quanto riguarda le caselle Gmail, Google si è occupata di resettare la password ai suoi utenti colpiti, costringendoli a cambiarla"

siamo sicuri? qualcun altro può confermare? perché sul blog ufficiale di gmail non diceva nulla...

videotape ha detto...

e come faccio a cambiare la password con gmail????

rob ha detto...

Puoi cambiare la password in gmail nelle opzioni account, in alto a destra.
Sono sempre tentato di usare un password manager, ma poi mi trattengo perché non mi sembrano più sicuri del memorizzare le mie due o tre password... faccio male?

Federico ha detto...

quello che volevo dire è che di solito nei database le password non sono registrate in chiaro, ma è registrato il loro hash, il sistema di autentificazione non compara le password ma l'hash prodotto da quello che digito e quello registrato nel database, teoricamente potrei loggarmi con una password diversa ma avente lo stesso hash.

In genere sarebbe bello che fosse sempre così! In questo modo se un eventuale soggetto non autorizzato riuscisse ad entrare in possesso del database non se ne farebbe nulla.

Comunque al di là di questo, resta il fatto che il sistema remoto a cui invii la password prima di tutto la riceve in chiaro! Se ti fidi di loro bene, sai che probabilmente non ne faranno cattivo uso e che la cancelleranno non appena effettuata l'autenticazione.... altrimenti bisogna fare attenzione!

Ah anche l'abitudine che hanno molti siti di chiederti la password della posta per importare in automatico dalla posta l'elenco degli amici non mi piace molto! E' molto comodo, ma anche molto pericoloso!

Bisognerebbe avere due password per la posta: la prima per l'accesso completo alle mail, la seconda soltanto per l'accesso ai contatti... ma dubito che verrà realizzato un sistema del genere!

theDRaKKaR ha detto...

@rob

mah io usavo KeePas

è open-source e ha la funzionalità di inserire per te la password nei siti web (in un modo un po' rudimentale ma intelligente, che non sto qui a spiegare)

comunque non mi ci sono abituato e sono tornato alla vecchia accoppiata memoria - mano

tuttavia se si è di quelli che ha il file con segnate le password consiglio vivamente di usare invece un software come questo, anche solo per segnarle

cyberia ha detto...

Molti servizi di email, e non solo loro, mettono (a volte obbligatorie) domanda e risposta di sicurezza. Lo scopo è di consentire al legittimo utente di recuperare l'accesso alla propria casella email qualora abbia dimenticato le proprie credenziali. Pertanto in fase di cambio password bisognerebbe cambiare anche domanda e risposta di sicurezza. Altrimenti chi ha violato l'utenza è venuto a conoscenza anche di quei dati. La parziale sicurezza è che l'utilizzo del recupero credenziali tramite domanda/risposta di solito resetta la password, non ricomunica all'utente l'ultima valida.
Ciao.
Maurizio

Willy ha detto...

Sempre a proposito di sicurezza, leggo su un Ng che il sito delle poste è stato hackerato adesso non è raggiungibile e inizialmente compariva questo messaggio:

Le Poste italiane sono state oscurate ?!
Perchè questo atto di forza?
Per dimostrare a milioni di Italiani
che i loro dati sensibili non sono al sicuro!
Sembra pazzesco eppure tutta la sicurezza garantita
nei servizi on-line di e-commerce è solamente apparente.
Per vostra fortuna noi siamo persone non malintenzionate,
perciò i vostri dati ed i vostri accounts non sono stati toccati;
Ma cosa succederebbe se un giorno arrivasse qualcuno
con intenzioni ben peggiori delle nostre?
Con questo gesto quindi, invitiamo i responsabili ad occuparsi
della grave mancanza di sicurezza nei servizi on-line delle Poste s.p.a
.

Mr.Hipo and StutM

Santana ha detto...

Un utente è riuscito a cogliere questi umilianti screenshot

Che figura!

markogts ha detto...

E' successo da ben tre ore e Paolo non ci ha ancora fatto un post? Sarà mica che al sabato sera non sta davanti al computer, no? :-P

theDRaKKaR ha detto...

molto appariscente ma il server defacciato non c'entra una mazza coi server dell'home banking, giusto per chiarezza

Willy ha detto...

Ho iniziato a modificare tutte le password dei miei moltissimi account utilizzando un generatore di password casuali (1password) e dove posso (ad esempio su google posso inserire il numero di cellulare per farmi inviare i dati) disabilito la domanda di sicurezza (inserendo una risposta casuale lunghissima).

Willy ha detto...
Questo commento è stato eliminato dall'autore.
Willy ha detto...

Ho appena "scoperto" che il sito delle poste non accetta password con più di 10 caratteri :(

E solo alfanumerici!!