·
Cookie della sfortuna? I cookie di internet rubati espongono i tuoi dati
"Utilizziamo i cookie per offrirti la migliore esperienza online possibile. Potrebbero essere rubati e utilizzati in un attacco informatico. Sei d'accordo?"
Alcuni ricercatori hanno analizzato un campione di 54 miliardi di cookie e le relative inserzioni di vendita presenti sul dark web per scoprire come sono stati rubati, quali rischi comportano per la privacy e la sicurezza e che tipo di informazioni contengono. Questo studio intende far luce sul modo in cui gli utenti di internet mettono in pericolo i propri account, il loro denaro e le informazioni private accettando i cookie senza riflettere sulle possibili conseguenze.
Il buono, il brutto e il necessario: scopriamo i diversi tipi di cookie di internet
Oggi i cookie sono parte integrante del funzionamento di internet. In sostanza, si tratta di piccoli file di testo che un sito web memorizza sul tuo dispositivo. Tuttavia, esaminandoli in maniera più approfondita, ci si rende conto che sono molto più di questo. Analizziamo, dunque, i tipi di cookie più diffusi e i relativi rischi.
I cookie di prima parte vengono creati e memorizzati sul tuo dispositivo dai siti web che visiti. Ricordano le tue credenziali e ti mostrano contenuti personalizzati e memorizzano le tue preferenze, quindi sono considerati essenziali per il funzionamento di base del sito web e la comodità dell'utente.
Sebbene siano generalmente meno invasivi dei cookie di terze parti, quelli di prima parte possono comportare gravi rischi per la sicurezza. Non sono in pericolo solo i dati personali conservati al loro interno. I cookie ti permettono di mantenere l'accesso a siti, account e servizi, quindi sono a rischio anche importanti dati di autenticazione. Inoltre, possono contenere dettagli come gli ID di sessione e gli identificativi degli utenti. Se una persona dovesse riuscire a mettere le mani su tali cookie, potrebbe usarli per riaprire le sessioni e accedere a informazioni più sensibili da altri account dell'utente ai sistemi aziendali.
Clicca con prudenza: come vengono rubati i cookie?
Molti criminali informatici desiderano rubare, vendere o utilizzare i cookie e le informazioni in essi contenute per altri attacchi. Come riescono a impossessarsi dei dati di milioni di utenti attraverso i cookie? Utilizzano principalmente dei malware, come infostealer, trojan e keylogger. Ecco i tipi di malware più diffusi che abbiamo individuato durante il nostro studio:
Aurora
Un infostealer che si finge un'applicazione legittima nascondendosi dietro a numerosi zeri per evitare di essere rilevato dagli antivirus.
AZORult
Un infostealer che può rubare nomi utente e password, dati di carte di credito e wallet di criptovalute, nonché scaricare altri malware.
CryptBot
Un infostealer che prende di mira i sistemi operativi di Windows, progettato per rubare password di account salvate nei browser, cookie, dati di pagamento e wallet di criptovalute.
Dark Crystal Rat (DCRat)
Un trojan di accesso remoto, che consente ai criminali informatici di controllare a distanza il dispositivo infetto. Può essere usato per diversi scopi.
MetaStealer
Questo malware-as-a-service, disponibile al costo di 125 $ al mese o 1.000 $ per la licenza permanente, prende di mira password e portafogli di criptovalute.
Mystic
Un malware che colpisce un'ampia gamma di browser ed estensioni per rubare informazioni, utilizzando chiamate di sistema e altre tecniche per evitare di essere rilevato.
Pennywise
Un infostealer che si diffonde tramite YouTube. Il suo efficiente multithreading permette di rubare diversi tipi di dati.
Predator The Thief
Questo malware, che è stato arricchito di ulteriori funzionalità anti-analisi per evitare di essere rilevato, è in vendita a partire da 150 $. Per ulteriori 100 $, è disponibile un modulo per i portafogli di criptovalute.
Raccoon
Un malware-as-a-service con supporto tecnico. È meno subdolo perché invia i dati man mano che vengono raccolti e non dispone di tecniche di offuscamento, ma è molto diffuso e piuttosto efficace.
Redline
Un keylogger e infostealer pubblicizzato come malware-as-a-service al costo di 100 $ al mese. Include moduli di personalizzazione e funzionalità extra, come il download di altri malware.
Taurus
Un malware che si diffonde tramite malvertising e spam per indurre gli utenti a scaricarlo autonomamente. Utilizza l'offuscamento per evitare di essere rilevato.
Vidar
Un malware-as-a-service che raccoglie i dati del sistema operativo e degli utenti con configurazioni specifiche progettate per rilevare determinati tipi di dati.
I risultati: una realtà preoccupante
I ricercatori hanno analizzato una lista di 54 miliardi di cookie (54.008.833.188) disponibili sui mercati del dark web. Il 17% di questi, ovvero oltre 9 miliardi, erano attivi. I cookie attivi sono associati a un maggiore rischio in quanto vengono aggiornati in tempo reale mentre l'utente naviga su internet. Tuttavia anche quelli inattivi, anche se aggiornati diverso tempo prima, possono contenere informazioni sull'utente e persino essere utilizzati per ulteriori attacchi e manipolazioni.
Oltre la metà dei cookie attivi e inattivi è stata rubata utilizzando Redline, mentre una percentuale maggiore di cookie attivi è stata rubata tramite Predator the Thief, Cryptbot, MetaStealer e Taurus (rispettivamente il 57%, il 51%, il 48% e il 44%). La natura del malware utilizzato dimostra che sia i criminali informatici esperti sia i principianti che utilizzano malware-as-a-service rubano dati per venderli online.
Di chi sono questi cookie?
Piattaforme
Oltre il 5% di tutti i cookie presenti nel campione proveniva da Google, l'1,3% da YouTube, oltre l'1% da Microsoft e un ulteriore 1% da Bing.
Il fatto che questi cookie siano in vendita rappresenta un rischio enorme per i loro proprietari. I cookie, infatti, si riferiscono ad account di posta elettronica principali che possono essere utilizzati per ottenere altre credenziali di accesso. Anche se queste percentuali possono sembrare irrisorie, è bene notare che l'1% del campione totale corrisponde comunque a oltre 500 milioni di cookie, cioè una quantità enorme di dati degli utenti.
*NordVPN non è avallata, sostenuta, sponsorizzata, affiliata, né in alcun modo associata ai proprietari delle piattaforme menzionate. Tali piattaforme sono indicate al solo fine di riportare in modo accurato le informazioni relative ai cookie disponibili sui mercati del dark web.
Dispositivi
Quasi tutti i 54 miliardi di cookie sono stati estratti da dispositivi Windows (per via della natura del malware). Tuttavia, nel campione erano presenti oltre 31,5 milioni di cookie Apple. Questo dimostra le falle del sistema, perché gli utenti accedono ai loro account su piattaforme e dispositivi diversi.
I cookie presenti nel campione contenevano etichette di oltre 4.500 sistemi operativi differenti a causa della natura dell'SO in esecuzione sui diversi dispositivi: molte etichette avevano un nome specifico per il dispositivo e il modello piuttosto che un sistema operativo separato. Ciò sottolinea quanto sono dettagliati i dati memorizzati nei cookie, che potrebbero essere utilizzati per identificare nuovamente gli utenti.
Il sistema operativo più comunemente preso di mira è risultato Windows 10 Enterprise (oltre 16 miliardi e il 30% del totale), a dimostrazione di quanto sia aumentato il rischio di attacchi hacker per le aziende.
*NordVPN non è avallata, sostenuta, sponsorizzata, affiliata, né in alcun modo associata ai proprietari dei marchi registrati menzionati. Tali marchi sono indicati al solo fine di riportare in modo accurato le informazioni relative ai cookie disponibili sui mercati del dark web.
Paesi
La metà dei cookie non conteneva dati sul paese, sebbene il 95% fosse inattivo. I paesi più comunemente rilevati nei cookie che disponevano di questa informazione sull'utente erano Brasile, India, Indonesia, Stati Uniti e Vietnam. Se guardiamo all'Europa, la maggior parte dei cookie, ovvero 554 milioni, proveniva dalla Spagna. Sebbene il Regno Unito si sia classificato al 120° posto in termini di numero di cookie, oltre la metà di essi era attiva. Complessivamente, nel campione erano rappresentati utenti di 244 paesi e territori, il che sottolinea quanto sia esteso il raggio d'azione degli hacker e quanto siano avanzate le potenzialità dei malware.
Cosa c'è nel barattolo dei cookie?
I venditori avevano assegnato ai cookie nelle loro inserzioni determinate parole chiave, in modo che i potenziali acquirenti potessero verificare quali dati avrebbero trovato al loro interno. Le parole chiave più comuni associate ai cookie erano "ID assegnato" (10,5 miliardi) e "ID di sessione" (739 milioni): entrambe possono essere collegate a utenti specifici. A queste seguono 154 milioni di occorrenze della parola chiave "Autenticazione" (il 15% di cookie attivi) e 37 milioni di occorrenze per "Login" (il 18% di cookie attivi). Queste ultime due sono particolarmente pericolose: molti cookie sono ancora attivi, il che significa che potrebbero essere utilizzati per accedere ad account di altre persone.
Per quanto riguarda le informazioni personali, i cookie memorizzano principalmente il nome, la città, la password, l'indirizzo e-mail e quello fisico dell'utente. Inoltre, 9 milioni di cookie contenevano una determinata città, mentre oltre 2 milioni includevano anche l'indirizzo spedifico dell'utente. L'orientamento sessuale, sebbene meno frequente, è comunque apparso nel campione 500.000 volte, con un maggiore tasso di cookie attivi (26%). Questo crea un ulteriore rischio per i membri della comunità LGBTQ+: in alcuni paesi, infatti, rivelare che una persona ha un orientamento sessuale non considerato standard può portare a gravi conseguenze per la stessa.
Un criminale informatico potrebbe utilizzare i cookie attivi per accedere all'account personale di un utente. Le informazioni che vi si trovano, insieme ai dati dei file provenienti dai cookie stessi, consentirebbero di creare portafogli utenti dettagliati ed eseguire attacchi informatici contro le persone e i luoghi in cui lavorano.
I rischi nascosti: fai attenzione al mostro dei cookie
Sebbene alcune persone possano considerare i cookie di internet una tecnologia innocua, 54 miliardi di cookie in vendita sul dark web rappresentano un rischio enorme sia per le persone che per le aziende. Le informazioni che memorizzano potrebbero favorire attacchi massicci online e nella vita reale.
Cosa potrebbe accadere se i cookie venissero rubati dal tuo dispositivo?
Se un hacker si impossessa di una raccolta di cookie provenienti da varie piattaforme e servizi, può utilizzarli per numerose attività pericolose:
Chiunque disponga di cookie contenenti identificatori di sessione potrebbe fingersi un altro utente e accedere senza autorizzazione ai suoi account senza neanche dover indovinare o rubare la password. I tuoi account di social media, posta elettronica e piattaforme e-commerce potrebbero essere a rischio.
Alcuni cookie potrebbero consentire a eventuali malintenzionati di accedere a una quantità di informazioni personali tale da permettere loro di perpetrare il furto d'identità. Se uno di questi individui dovesse entrare in un tuo account, potrebbe rubarti nome, indirizzo, numero di telefono o dati di pagamento e utilizzarli per commettere frodi o altri reati a tuo nome.
I cookie vengono usati per monitorare le abitudini e le preferenze di navigazione dell'utente. Chiunque abbia accesso a queste informazioni potrebbe sfruttarle, insieme ad altri dati che ha sul tuo conto, per eseguire attacchi di phishing mirati. Se il set di dati è sufficientemente grande, può venderlo a terze parti interessate a realizzare campagne pubblicitarie mirate.
Alcuni siti web utilizzano i cookie per ricordare i dispositivi o gli indirizzi IP che hanno superato l'autenticazione a due fattori o altri controlli di sicurezza. Con i cookie di sessione contenenti i tuoi dati, un malintenzionato potrebbe aggirare queste misure e accedere più facilmente ai tuoi account protetti.
Cosa potrebbe accadere a un'azienda se venissero rubati i cookie dai suoi dispositivi?
L'uso di cookie rubati, generati dall'utilizzo di internet da parte dei dipendenti, potrebbe comportare gravi violazioni dei dati, con ripercussioni su vari aspetti legati alle operazioni, alla sicurezza, alla reputazione e alla conformità legale.
I criminali informatici possono utilizzare i cookie per ottenere l'accesso agli account, ai sistemi interni e ai database dell'azienda. In questo modo, possono rubare informazioni aziendali sensibili, proprietà intellettuali, dati finanziari, schede dei dipendenti e informazioni sui clienti. Impadronendosi di un sistema aziendale, gli hacker possono bloccare i relativi account in attesa del pagamento di un riscatto. Inoltre, possono effettuare transazioni o utilizzare il profilo dell'azienda per eseguire attacchi di phishing contro venditori e clienti.
Un'altra preoccupazione è rappresentata dai danni legali e da quelli reputazionali. La fuga di dati sensibili o riservati (come quelli contenuti nelle cartelle cliniche) può avere gravi conseguenze per l'azienda, tra cui le perdite finanziarie dovute al furto, le spese di risarcimento, le multe per violazione delle leggi sulla protezione dei dati (come il GDPR o il CCPA) e il costo di notifica alle parti interessate. Inoltre, le aziende potrebbero dover affrontare i danni reputazionali, la perdita della fiducia dei clienti, dei partner e degli stakeholder e la difficoltà di attrarre nuovi clienti o partner.
Rafforza le difese: come proteggere i cookie del tuo dispositivo dagli hacker
L'adozione di nuove abitudini e la consapevolezza generale sulla sicurezza informatica contribuiranno notevolmente alla protezione dei cookie per quanto riguarda l'uso di internet in contesti privati o aziendali:
1. Usa una connessione sicura.
Abbonati a una VPN premium e crittografa la tua connessione internet in ogni momento. In questo modo, non solo impedirai che i cookie vengano intercettati durante la loro trasmissione, ma contribuirai anche a nascondere alcune informazioni identificative, come l'indirizzo IP, impedendo che i dati possano essere ricondotti a te.
2. Procurati un software di sicurezza aggiuntivo.
Alcuni fornitori di VPN, come NordVPN, offrono funzionalità di sicurezza aggiuntive che ti aiutano a evitare i malware che rubano i cookie. La funzionalità Threat Protection Pro™ di NordVPN ti impedisce di accedere a siti web pericolosi e di phishing e analizza i file che scarichi per verificare che non contengano malware.
3. Rifiuta i cookie.
Il modo migliore per evitare il furto di dati è non fornire informazioni da rubare. La maggior parte dei siti web ti chiederà il permesso di utilizzare determinati cookie durante la sessione: puoi rifiutare molti di quelli di tracciamento. La funzionalità Threat Protection Pro™ di NordVPN ti aiuterà ulteriormente, impedendo a tutti i tracker di terze parti di monitorare le tue attività online e di raccogliere informazioni su di te. Infine, puoi cancellare periodicamente i cookie in modo da rimuovere i dati vecchi o potenzialmente compromessi. Questo passaggio è particolarmente importante se utilizzi computer pubblici o condivisi.
I miei cookie? Non sono affar tuo
Per quanto riguarda la sicurezza degli utenti aziendali, la situazione è più o meno la stessa. Usa la VPN per aziende NordLayer per proteggere le tue connessioni, aggiornare regolarmente i dipendenti sulle migliori pratiche di cybersecurity e implementare funzionalità di sicurezza interne per ridurre al minimo il rischio di attacchi informatici.
Metodo
NordVPN ha collaborato con ricercatori indipendenti che hanno raccolto il set di dati dai canali Telegram dove gli hacker pubblicizzano le informazioni rubate che vendono. Tali ricercatori hanno rilevato i cookie attivi e inattivi, il tipo di malware utilizzato per rubarli e il paese da cui provenivano, nonché i dati che contenevano, ad esempio l'azienda che ha generato il cookie, il sistema operativo dell'utente e le categorie di parole chiave assegnate a quest'ultimo.
Nota: né NordVPN né i suoi partner di ricerca hanno acquistato i cookie rubati e/o hanno avuto accesso ai loro contenuti. I nostri partner si sono limitati ad analizzare i dati disponibili negli annunci di vendita dei cookie. Durante la stesura di questo rapporto di ricerca, abbiamo fatto molta attenzione a non violare la privacy o la sicurezza degli utenti.
Materiali per la stampa
Cerchi risorse per divulgare la nostra ricerca? Eccole.
Desideri maggiori informazioni sulla nostra attività digitale? Consulta le altre ricerche!
Privacy dei dispositivi mobili: cosa vogliono sapere le app?
Per poter funzionare correttamente sui telefoni, Android e iOS necessitano di permessi specifici: ma qual è il limite di dati che possono richiedere? Abbiamo esaminato oltre un centinaio di app diffuse in tutto il mondo per capire quanto vogliono (e hanno bisogno di) sapere sugli utenti.
Salute o hacking? Analisi dei costi nascosti delle app per la salute
Le app per la salute possono donarci serenità e aiutarci a migliorare la nostra condizione fisica. Ma la domanda è: che ruolo gioca la tecnologia sanitaria nel nostro benessere digitale? Abbiamo intervistato 12.726 utenti di tutto il mondo per analizzare le modalità di utilizzo delle app per la gestione della salute e il prezzo da pagare nascosto legato alla divulgazione dei loro dati.
La punta dell'iceberg: analisi dei dati rubati di 6 milioni di carte
Ogni giorno, vengono acquistati e venduti i dati rubati di migliaia di carte di credito. Per comprendere i rischi legati al furto di tali informazioni, i ricercatori hanno analizzato un campione di 6 milioni di carte di credito, i cui dati sono disponibili sui principali marketplace del dark web, ma non è che la punta dell'iceberg a livello mondiale.