skip to main | skip to sidebar
27 commenti

Password rubate come se piovesse

Phishing, password rubate a decine di migliaia di utenti


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Se avete una casella di posta Hotmail, MSN, Live, Gmail o AOL, Yahoo, cambiate la password. E' stata scoperta su Internet una serie di liste contenenti decine di migliaia di indirizzi di e-mail, principalmente europei, insieme alle password corrispondenti.

Si tratta di indirizzi di utenti di Hotmail.com, Live.com, Msn.com, Gmail, Yahoo, Comcast, AOL, Earthlink e di molti altri fornitori di caselle di posta.

La lista era stata depositata il primo ottobre su Pastebin.com, un sito usato comunemente dai programmatori per condividere le proprie soluzioni e che non è responsabile del fattaccio. Non precipitatevi a cercarla per vedere se contiene la password del vostro partner o del collega antipatico: la lista è già stata rimossa.

Le principali società di sicurezza informatica raccomandano a ogni utente di questi servizi di cambiare la propria password appena possibile e di cambiarla anche negli altri siti dove l'ha usata. Gli utenti, infatti, rischiano non solo di farsi leggere o cancellare la posta, ma anche di vedersi abusati online da malintenzionati che inviano e-mail spacciandosi per loro o usano la loro casella di posta per inviare spam. C'è di peggio: siccome circa il 40% degli utenti usa la stessa password per più di un sito o servizio, è facile che i criminali abbiano accesso ad altre loro attività in Rete.

Le password sembrano essere state rubate usando la classica tecnica del phishing: la vittima riceve una mail che sembra provenire dal servizio clienti della sua casella di e-mail e che lo invita a visitare il sito del servizio clienti stesso per una verifica dei dati, motivata dall'urgenza di risolvere un problema in realtà inesistente. La mail contiene anche un comodo link cliccabile, che però non porta al sito del servizio clienti, ma a quello dei malviventi, che è visivamente identico a quello vero. Se l'utente immette i propri codici di accesso, li regala ai criminali.

Stando a Scansafe.com, però, è possibile che questo recente elenco d'indirizzi non provenga da un phishing semplice, ma da un attacco effettuando iniettando nei computer delle vittime un keylogger che registra le password digitate e le invia ai malviventi.

Molti programmi di navigazione offrono o possono aggiungere una funzione che avvisa di questo genere di siti-trappola. Conviene attivarla oppure scaricarla e installarla: ce n'è una gratuita per esempio presso Netcraft.com. Prendete comunque l'abitudine di non fidarvi dei link che trovate nei messaggi di posta che sembrano arrivare da banche, enti, negozi o fornitori di servizi.

Va detto che questo genere di lista è abbastanza frequente in Rete: basta saper cercare nei posti giusti. Secondo The Register, inoltre, non si tratta di un evento particolarmente insolito neanche in termini di scala, tanto che una lista di 10.000 indirizzi ha un valore di mercato, per così dire, di una novantina di dollari.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (27)
Scusa, non ho capito: ma solo a chi è caduto nel phishing è stata rubata la password, oppure è possibile che sia stata carpita in altra maniera?

p.s.: "sere" per "serie"
Oltre che con il phishing e il keylogging le password si possono rubare tramite:

* attacco al DNS (tu digiti www.google.com, ma il tuo DNS e' sotto il mio controllo e anziche' restituirti un IP di Google ti restituisce un IP di un sito civetta che ti zanza la password)

* furto di file con le credenziali (una persona (anche il tecnico che ti sistema il PC) mette le mani sul contenuto del disco o su un backup, ti zanza il file con le password registrate e se lo decritta con calma)

* presunzione che uno utilizzi la medesima password per piu' servizi (il gestore di un forum (ad esempio) poco onesto prova la password immessa per l'account del forum per entrare sull'account di posta elettronica specificato all'iscrizione)

La prima cosa da fare prima di porsi troppe domande IMHO e' cambiare password: alla peggio e' un eccesso di zelo.
attacco al DNS

Per la cronaca, dell'attacco al DNS Paolo parlò già qui.
@Luigi Rosa

i gestori dei forum non hanno disponibilità delle password in chiaro, almeno con i sistemi di autentificazione standard, naturalmente potrebbero ricorrere alla forza bruta per indovinarla, fare però intendere che le password siano così accessibili è un po' esagerato, almeno lo spero!
Tre domande:

- la prima, quoto Rado. Non sono mai caduto nella trappola del phisihing, sono a rischio lo stesso? Cmq ho cambiato la password, a scanso di equivoci.
-Attacco al DNS: uso OpenDNS, che ne pensate?
-Netcraft antiphishing toolbar: non basta già il servizio di Firefox di segnalazione di pagine pericolose?
vorrei segnalarvi questo articolo che "svela il trucco" che sta dietro a questo problema..
zio Feng: una gestore che utilizza un forum per impossessarsi delle password altrui ha mille modi per rubare le password all'utente. Senza entrare in dettaglio, basta ricordare che il sorgente del software della gestione del forum e' in mano al gestore del forum medesimo. E ho detto tutto.
io a scanso equivoci ho cambiato immediatamente le pasword a tutte le mie caselle postali, tanto non costa nulla, se non il ricordarsi le nuove pasword. e comunque di solito presto attenzione alle mail che mi puzzano e se devo connettermi con qualche servizio non lo faccio trmite i comodi linck cliccabili, ma chiudo la posta e mi connetto al sito. però immagino che ci sia sempre il modo di zanzarti la pasword, quidni magari un cambiamento randomico della pasword un minimo ti protegge, che dite?
Io le cambio ogni mese, tanto non le devo ricordare visto che se le ricorda il mio sensore biometrico.
* presunzione che uno utilizzi la medesima password per piu' servizi (il gestore di un forum (ad esempio) poco onesto prova la password immessa per l'account del forum per entrare sull'account di posta elettronica specificato all'iscrizione)

Acc! Beccato!
Non ci avevo mai pensato...
Vado a cambiare le password

L.
afaik, per quanto riguarda le caselle Gmail, Google si è occupata di resettare la password ai suoi utenti colpiti, costringendoli a cambiarla.

Resta il fatto che è buona norma cambiare la propria password con una certa frequenza.
avoglia a cambiare la password, se hai un keylogger nel computer.
i gestori dei forum non hanno disponibilità delle password in chiaro, almeno con i sistemi di autentificazione standard, naturalmente potrebbero ricorrere alla forza bruta per indovinarla, fare però intendere che le password siano così accessibili è un po' esagerato, almeno lo spero!

Le password sono spedite in chiaro, per forza!
E sono spedite in chiaro anche se si utilizza HTTPS.

Generalmente i gestori di un forum o di un qualsiasi sito con registrazione memorizzano le password in chiaro, e questo è molto male! Ma anche se le memorizzano cifrate hanno pieno accesso alle password in chiaro sempre e comunque!

Quindi... fate attenzione!
@Federico @Luigi Rosa

quello che volevo dire è che di solito nei database le password non sono registrate in chiaro, ma è registrato il loro hash, il sistema di autentificazione non compara le password ma l'hash prodotto da quello che digito e quello registrato nel database, teoricamente potrei loggarmi con una password diversa ma avente lo stesso hash.

In questo caso anche se conosco l'hash non potrò risalire alla password, oppure dovrò usare la forza bruta.

Io gestivo un sito in cui chiedevo agli utenti di loggarsi e per mio scrupolo facevo così, non ho mai registrato le password in chiaro degli utenti, non so neanche se sia lecito.

E' naturale poi che una persona senza scrupoli possa fare quello che vuole, infatti è per questo che parlavo di procedure standard.

Comunque concordo fate attenzione e non usate le stesse password per ogni sito!
"per quanto riguarda le caselle Gmail, Google si è occupata di resettare la password ai suoi utenti colpiti, costringendoli a cambiarla"

siamo sicuri? qualcun altro può confermare? perché sul blog ufficiale di gmail non diceva nulla...
e come faccio a cambiare la password con gmail????
Puoi cambiare la password in gmail nelle opzioni account, in alto a destra.
Sono sempre tentato di usare un password manager, ma poi mi trattengo perché non mi sembrano più sicuri del memorizzare le mie due o tre password... faccio male?
quello che volevo dire è che di solito nei database le password non sono registrate in chiaro, ma è registrato il loro hash, il sistema di autentificazione non compara le password ma l'hash prodotto da quello che digito e quello registrato nel database, teoricamente potrei loggarmi con una password diversa ma avente lo stesso hash.

In genere sarebbe bello che fosse sempre così! In questo modo se un eventuale soggetto non autorizzato riuscisse ad entrare in possesso del database non se ne farebbe nulla.

Comunque al di là di questo, resta il fatto che il sistema remoto a cui invii la password prima di tutto la riceve in chiaro! Se ti fidi di loro bene, sai che probabilmente non ne faranno cattivo uso e che la cancelleranno non appena effettuata l'autenticazione.... altrimenti bisogna fare attenzione!

Ah anche l'abitudine che hanno molti siti di chiederti la password della posta per importare in automatico dalla posta l'elenco degli amici non mi piace molto! E' molto comodo, ma anche molto pericoloso!

Bisognerebbe avere due password per la posta: la prima per l'accesso completo alle mail, la seconda soltanto per l'accesso ai contatti... ma dubito che verrà realizzato un sistema del genere!
@rob

mah io usavo KeePas

è open-source e ha la funzionalità di inserire per te la password nei siti web (in un modo un po' rudimentale ma intelligente, che non sto qui a spiegare)

comunque non mi ci sono abituato e sono tornato alla vecchia accoppiata memoria - mano

tuttavia se si è di quelli che ha il file con segnate le password consiglio vivamente di usare invece un software come questo, anche solo per segnarle
Molti servizi di email, e non solo loro, mettono (a volte obbligatorie) domanda e risposta di sicurezza. Lo scopo è di consentire al legittimo utente di recuperare l'accesso alla propria casella email qualora abbia dimenticato le proprie credenziali. Pertanto in fase di cambio password bisognerebbe cambiare anche domanda e risposta di sicurezza. Altrimenti chi ha violato l'utenza è venuto a conoscenza anche di quei dati. La parziale sicurezza è che l'utilizzo del recupero credenziali tramite domanda/risposta di solito resetta la password, non ricomunica all'utente l'ultima valida.
Ciao.
Maurizio
Sempre a proposito di sicurezza, leggo su un Ng che il sito delle poste è stato hackerato adesso non è raggiungibile e inizialmente compariva questo messaggio:

Le Poste italiane sono state oscurate ?!
Perchè questo atto di forza?
Per dimostrare a milioni di Italiani
che i loro dati sensibili non sono al sicuro!
Sembra pazzesco eppure tutta la sicurezza garantita
nei servizi on-line di e-commerce è solamente apparente.
Per vostra fortuna noi siamo persone non malintenzionate,
perciò i vostri dati ed i vostri accounts non sono stati toccati;
Ma cosa succederebbe se un giorno arrivasse qualcuno
con intenzioni ben peggiori delle nostre?
Con questo gesto quindi, invitiamo i responsabili ad occuparsi
della grave mancanza di sicurezza nei servizi on-line delle Poste s.p.a
.

Mr.Hipo and StutM
Un utente è riuscito a cogliere questi umilianti screenshot

Che figura!
E' successo da ben tre ore e Paolo non ci ha ancora fatto un post? Sarà mica che al sabato sera non sta davanti al computer, no? :-P
molto appariscente ma il server defacciato non c'entra una mazza coi server dell'home banking, giusto per chiarezza
Ho iniziato a modificare tutte le password dei miei moltissimi account utilizzando un generatore di password casuali (1password) e dove posso (ad esempio su google posso inserire il numero di cellulare per farmi inviare i dati) disabilito la domanda di sicurezza (inserendo una risposta casuale lunghissima).
Questo commento è stato eliminato dall'autore.
Ho appena "scoperto" che il sito delle poste non accetta password con più di 10 caratteri :(

E solo alfanumerici!!