E’ stato messo in vendita, sul nuovo BreachForums (market forum underground), un archivio di grandi dimensioni contenente numeri di telefono con accesso Whatsapp, all’interno del quale sono presenti anche 19 milioni di numeri italiani oltre che di altri Paesi.
Gli analisti sono scettici si tratti di un nuovo data breach; probabilmente è lo stesso affiorato a gennaio per lo scraping di utenze Facebook del 2019. In ogni caso la nuova messa in vendita dei numeri rinnova i pericoli correlati di phishing per quelle utenze.
Facebook, pubblici i dati di 36 milioni di italiani: come possiamo difenderci
Indice degli argomenti
19 milioni di numeri Whatsapp italiani in vendita su BreachForums
Un fine settimana pasquale sicuramente molto attivo dal punto di vista cyber. Risalgono infatti proprio alle giornate tra il 14 e il 16 aprile, gli annunci di vendita comparsi online sul neonato BreachForums, con i quali si lancia sul mercato illegale dei dati, l’offerta per un grande numero di numeri di telefono cellulare. “Certificati” come operativi su Whatsapp.
Il leak è apparso tramite annunci singoli suddivisi per area geografica di interesse. Quindi già dal 14 aprile potevamo trovare numeri Whatsapp appartenenti a utenze telefoniche di Italia, Francia, Spagna, Russia, UK e USA, in vendita sul nuovo forum online che si è auto candidato come l’erede del popolare RaidForums, ormai fuori dai giochi dell’illegalità informatica organizzata.
A questi annunci ne ha seguito un ulteriore il 16 aprile, sempre del medesimo autore “AllDataSource”, con il quale si mette in vendita l’intero pacchetto di dati relativi a numeri Whatsapp “trafugati” e collezionati, di tutto il mondo. Questo contiene un totale, da quello che viene dichiarato dal venditore, di 100 milioni di numeri telefonici, che è ciò che ha dato origine appunto ai vari archivi frazionati per paese di interesse.
Da RaidForums a BreachForums
E’ di pochi giorni fa l’annuncio delle forze dell’ordine e di intelligence tedesche e statunitensi, del sequestro definitivo di RaidForums, popolare ritrovo online di gran parte della criminalità informatica mondiale, con una maxi operazione di investigazione interforze che ha coinvolti diversi paesi europei e degli Stati Uniti. La chiusura definitiva di questo centro nevralgico, sul quale avvenivano vere e proprie trattative per vendita di dati illegalmente detenuti e persino l’assunzione di criminali informatici su commissione per eventuali operazioni illecite da compiere contro aziende o enti, ha generato anche l’arresto di parte dello staff che l’ha fondato e lo gestiva.
Sicuramente di grande importanza, l’operazione portata a termine dalle forze dell’ordine (fra le quali spicca anche l’EUROPOL), purtroppo, come spesso avviene in campo informatico, non ha eliminato del tutto il rischio di emulazione degli illeciti. Infatti proprio negli stessi giorni compariva online l’alternativa, nuova e tutta da ricostruire, sulla quale poter riversare l’enorme quantità di utenti che fino a quel momento presiedeva su RaidForums. Si chiama BreachForums il nuovo data market online, del quale non se ne conosce ovviamente l’origine reale dei responsabili, ma analizzato da un punto di vista storico, ha tutta l’aria di essere il candidato migliore per diventare l’erede dell’ormai defunto RaidForums. Nato appunto dalle sue ceneri, si sta nuovamente popolando (partito da zero pochi giorni fa) di oltre 6.000 nuovi utenti iscritti. E con gli utenti stanno comparendo anche i post ai quali ci si era ormai abituati su RaidForums.
L’origine del data leak Whatsapp: vecchio o nuovo
Tra i nuovi thread aperti proprio negli ultimi giorni, appunto, spicca il grande archivio di numeri telefonici Whatsapp, nel quale non se ne può fare analisi concreta per carpirne la veridicità, visto che è disponibile solo tramite vendita illegale, ma se ne può fare un’analisi comparativa leggendo la storia dei leaks che hanno coinvolto numeri Whatsapp.
Proprio negli ultimi giorni di vita di RaidForums infatti, gennaio 2022 era comparso online un grande archivio di 70 milioni di numeri Whatsapp riguardanti utenze telefoniche degli Stati Uniti, all’interno dell’annuncio però si dava posto alla promessa successiva di pubblicazione di un ulteriore archivio riguardante i numeri italiani.
La promessa venne mantenuta ed esattamente tre giorni dopo, su RaidForums era presente l’annuncio di vendita per numeri di telefono Whatsapp italiani collezionati.
Non possiamo dunque escludere che questo leaks, almeno in parte faccia riferimento al vecchio materiale già presente tra le pagine di RaidForums e ora “migrato” nel nuovo data leaks market, al fine di riprendere le trattative ormai interrotte sulla vecchia piattaforma.
“Molto probabile che sia vecchio materiale”, ci dice Pierluigi Paganini, noto esperto cyber. Il sospetto è anche dell’esperto informatico forense Paolo dal Checco.
Il fatto che nessuna testata internazionale parli del data breach – pur essendoci anche numeri di varie altre nazioni – sembra confermare che non sia nuovo materiale.
Originariamente sembra che la collezione sia stata resa possibile mediante la raccolta di informazioni personali da pagine web di phishing che sfruttano proprio la grafica di Whatsapp per carpirne i dati che gli utenti, inconsciamente inseriscono, convinti da una obbligatoria finta verifica del numero o disguidi di questa tipologia.
Inoltre una grande quantità venne archiviata già dal 2021 anche tramite lo scraping web, che ha preso in esame un grande numero di pagine profilo Facebook, collezionandone l’eventuale numero di telefono presente.
Vendita numeri Whatsapp, quali rischi per gli utenti
Grandi quantità di dati, come quelle offerte da questo annuncio, sono un grande pericolo per gli utenti che diventano automaticamente vittima di ulteriori frodi, da effettuare in maniera mirata e proprio mediante i contatti ottenuti tramite questi grandi elenchi.
SEGUI IL NOSTRO NUOVO OSSERVATORIO PHISHING
Il pericolo è appunto quello di smishing, che però arriverebbe in questo caso direttamente nelle nostre chat Whatsapp o tramite SMS.
Coinvolgendoci nel click a un certo link malevolo e quindi rendendoci partecipi di un numero potenzialmente alto di attacchi.
Come abbiamo visto possono arrivare da vari fronti, questi futuri attacchi, rimane dunque di fondamentale importanza non dare seguito a messaggi testo SMS o chat di Whatsapp che arrivano con contenuti inattesi, riguardanti concorsi a premi, vincite, verifica di carte di credito o verifica del numero di telefono.
Per qualsiasi di queste operazioni non standard, prima di agire, dovremo poter verificare andando a interessare l’effettivo fornitore di quel dato servizio. Così da poter verificare anche l’effettiva presenza di una campagna in tal senso che ci vede coinvolti. Nella totalità dei casi scopriremo che non è in corso alcuna verifica nei nostri confronti oppure che non c’è in atto alcun concorso a premi.