Si chiamano data breach search engine e sono particolari servizi online che permettono di accedere agli enormi archivi di e-mail e password rubate in seguito ad attacchi complessi condotti da gruppi di criminal hacker e mirati direttamente ai proprietari dei servizi ai quali si accede usando proprio queste credenziali, come ad esempio Facebook, Dropbox o LinkedIn.
Allo stesso tempo, però, questi particolare “motori di ricerca” possono anche tornare utili per sapere se le proprie credenziali sono in pericolo e se quindi si può essere soggetti ad attacchi mirati o di massa verso la propria identità o i propri account personali od aziendali.
È bene premettere, però, che vista la sensibilità delle informazioni che possono essere reperite tramite i data breach search engine, non saranno esposti nome o link per accedervi.
Indice degli argomenti
Cos’è un data breach search engine
Prima di spiegare cosa sono data breach search engine, veri protagonisti di questo articolo, è bene fare un passo indietro e spiegare cos’è un data breach.
Un data breach è una violazione di dati, il rilascio intenzionale o non intenzionale di informazioni sensibili o private / riservate in rete od in piattaforme non sicure ed accessibili a tutti.
I dati possono essere di varia natura: dalle proprie credenziali di iscrizione a siti web o social network (come, per esempio, e-mail e password) fino a dati privati ed aziendali collezionati da siti terzi o piattaforme (come per esempio nome, cognome, via e numero civico).
Questi database, sull’ordine delle centinaia di migliaia di righe arrivando fino a milioni, possono essere consultati.
Esatto, è possibile eseguire delle ricerche, come per esempio cercare se la nostra e-mail e/o password è presente in database rubati, grazie proprio ai data breach search engine.
I data breach search engine sono infatti strumenti che ci permettono, molto spesso tramite un abbonamento mensile, di eseguire ricerche in enormi collezioni di dati rubati (uno dei più famosi conta circa 11 miliardi di righe).
Data breach search engine: che tipo di informazioni possono essere cercate
Nel dettaglio, le informazioni che possono essere ricercate, da esperti in sicurezza informatica o possibili criminal hacker, sono:
- e-mail personali;
- e-mail aziendali;
- password usate in servizi terzi (Dropbox, Shein, social network o i provider mail stessi);
- nomi e cognomi;
- username;
- numeri di telefono;
- indirizzi IP;
- indirizzi di abitazioni.
La possibilità di eseguire questo tipo di ricerche può quindi essere una vera e propria risorsa ed un punto di partenza per eseguire ed iniziare attacchi informatici basati su OSINT e sull’ingegneria sociale.
Data breach search engine: come vengono usati dagli hacker
Per accedere, violare, bucare una casella e-mail o un social network esistono varie metodologie, dalle più tecniche come un attacco brute force, fino agli attacchi di ingegneria sociale, i quali vengono affiancati molto spesso da strumenti e dati aggiuntivi per aumentare le probabilità di successo.
Lo spettro degli attacchi “tecnici” usati per violare account social o caselle di posta elettronica è diventato però debole date le forti limitazioni e precauzioni che i fornitori di servizi (Snapchat, Facebook, Aruba, Gmail…) offrono: risulta quindi davvero complesso il tentativo di accesso illecito ad account dei provider sopracitati o simili.
Differentemente, gli attacchi basati sull’ingegneria sociale hanno una percentuale di successo molto più alta: sono mirati ad attaccare la mancanza di cultura e di conoscenza del rischio tipica dell’essere umano.
Una tipologia di strumenti che possono fare il 90% del lavoro di un attacco verso un account e-mail o social sono, per l’appunto, i data breach search engine.
Data breach search engine: due pericolose modalità di ricerca
Due tipiche ricerche, oltre a quella mirata, eseguite su data breach search engine sono quelle illustrate di seguito.
Innanzitutto, la ricerca per dominio: consiste nel trovare tutte le e-mail e password utilizzate in servizi terzi che hanno subito un data breach appartenenti a: @lamiaazienda.com.
La schermata che si presenta davanti a chi esegue la ricerca può essere simile a quella indicata nella figura sottostante.
Questo tipo di ricerca può essere usato per controllare l’esposizione in questo tipo di database di un’azienda, per controllare se sono presenti e-mail aziendali registrate a servizi non consoni o deplorevoli in ambito aziendale (siti pornografici o sito per incontri).
Può essere usato anche per controllare il livello di gestione delle password che hanno i dipendenti, un utilizzo di password deboli potrebbe essere segno di necessità di formazione o aggiornamenti in ambito sicurezza informatica per conoscere e capire i rischi che un semplice errore come lo scorretto utilizzo di credenziali può portare.
Un’altra tipologia di ricerca eseguita è quella che consente di ricercare tutti gli indirizzi e-mail che utilizzano la stessa password, come per esempio “Alessio14”, in servizi che hanno subito un data breach.
Il risultato viene mostrato nella schermata seguente.
Questo tipo di ricerca porta ad avere un insieme di potenziali vittime, le quali usano o hanno utilizzato una password semplice, debole o mirata dall’attaccante.
Avendo un insieme di dati simile è possibile eseguire un attacco molto particolare: al posto di tentare password diverse per lo stesso indirizzo e-mail, è possibile utilizzare diversi indirizzi e-mail con la stessa password.
Una volta che l’attaccante riesce ad entrare in un account (chiamato anche “HIT”) può proseguire con le sue possibili azioni dannose o malevoli.
Data breach search engine: cosa succede se le nostre credenziali sono esposte
Le password sono state trovate, e adesso?
Adesso è possibile tentare di utilizzarle tramite un attacco di tipo password reuse (tentativo di accesso a social network utilizzando una password conosciuta o utilizzata in precedenza, puntando sull’errore di utilizzare la stessa password, o simile, per tutti i servizi) per attaccare un suo profilo social privato o un suo servizio Cloud e rubarne dati, messaggi, foto da usare come strumento di ricatto o semplicemente per eliminarli o danneggiare la sua immagine.
Se le password non funzionano, solitamente gli attaccanti non si danno subito per vinti: analizzano infatti la tipologia e la composizione della password utilizzata (come, per esempio, l’uso del nome seguito dalla sua data di nascita), sperando che la vittima utilizzi una password simile per tutti i suoi account.
Avere i propri dati presenti in data breach search engine è un problema sia per la propria persona che come membro di un team aziendale: significa essere esposti ed essere un potenziale punto di partenza per un attacco informatico, una vera e propria falla di sicurezza.
Questi motori di ricerca, i data breach search engine, possono essere e sono lo strumento migliore per proteggersi: uno dei migliori metodi per progettare la propria sicurezza è utilizzare le stesse armi dei criminal hacker.
Scoprire se le proprie credenziali sono a rischio
Un utile servizio per raggiungere questo scopo è Have I Been Pwned?, un modulo di ricerca che ci permette di conoscere se nostre credenziali ed indirizzi mail sono stati esposti in database violati, senza però mostrare in chiaro l’informazione esposta, come per esempio la password, per ragioni di sicurezza (è possibile infatti la ricerca di indirizzi mail appartenenti ad altre persone).
Eseguita la ricerca, come ci comunica se il nostro indirizzo e-mail o password è presente in uno o più data breach?
Schermata verde se il nostro indirizzo e-mail non è stato trovato in database rubati online: non ci sono quindi nostre credenziali esposte.
Schermata rossa se il nostro indirizzo e-mail è presente e quindi compromesso, con relativa password, in database rubati online: se abbiamo quindi usato la stessa password o password simili per altri servizi, potremmo essere soggetti ad un attacco di password.
Consigli utili per proteggersi
Sia per garantire la corretta partecipazione del primo livello di sicurezza aziendale, ovvero l’essere umano, e sia per mantenere un livello adeguato di integrità in termini di sicurezza informatica personale, è bene sapere che per proteggersi dal problema e dalle potenzialità dei data breach search engine serve prima di tutto essere a conoscenza della loro esistenza, seconda cosa gestire correttamente le proprie credenziali con pochi, semplici ma fondamentali accorgimenti.
Le nostre credenziali (e-mail e password) e il nostro nome e cognome sono i dati più sensibili che possono essere cercati in un data breach search engine, anche perché nome e cognome possono essere usati per ritrovare l’e-mail e viceversa; conoscendo l’e-mail si può quindi arrivare alla password durante la ricerca.
Le password vanno create in maniera adeguata, aggiornate e mantenute: è sempre buona norma creare una password che rispetti i parametri base quali lunghezza minima di 8 caratteri, utilizzo di maiuscole e minuscole, utilizzo di simboli e parole/frasi non riconducibili a chi la utilizza, al periodo in cui è stata creata ed al servizio al quale è legata, ma questi parametri sono troppe volte poco efficaci.
Utilizzo di una Passphrase
Si è parlato di data breach search engine, database consultabili nei quali le nostre password sono esposte in chiaro poiché sono state decriptate data la loro scarsa sicurezza.
Una password sicura, forte tanto da non apparire in chiaro in un data breach search engine è una password lunga, con una composizione complessa.
Come crearla in modo tale che sia facile da ricordare?
Bisogna usare una frase al posto di una parola, trasformando la password in una passphrase (frase di sicurezza).
Nel lato pratico delle cose, la seguente password:
@MaLi11_2e
è molto meno sicura e più difficile da ricordare della seguente passphrase:
( !Ho Mangiato Venti6 Uova Sode! )
Con il suo alto numero di caratteri per una password, l’utilizzo di maiuscole, minuscole, spazi, simboli e numeri, è molto difficile che venga decriptata ed esposta in chiaro online, essendo inoltre una frase strana e presumibilmente distaccata da chi siamo, dove viviamo e quando siamo nati, è quindi molto difficile che venga indovinata da una mente umana, rendendoci quindi molto più sicuri e meno esposti.
Altro utile accorgimento è accompagnare la password, come dovrebbe sempre essere fatto ovunque possibile, con un sistema di autenticazione a due fattori (2FA), il sistema che ci permette di confermare il nostro accesso tramite un codice segreto inviato solitamente al nostro numero di cellulare, aggiungendo un secondo livello di sicurezza.
Oltre a questi piccoli accorgimenti tecnici, per un giusto livello di protezione, soprattutto in ambito aziendale, è bene affrontare percorsi di formazione, aggiornamenti, test in ambito cyber security ed un costante utilizzo dello strumento descritto precedentemente, Have I Been Pwned?.
