·
Cookie della sfortuna? Miliardi di cookie rubati rivelano i tuoi dati
"Utilizziamo i cookie per offrirti la migliore esperienza online possibile. Potrebbero essere rubati e utilizzati in un attacco informatico. Sei d'accordo?"
Alcuni ricercatori hanno analizzato un campione di 54 miliardi di cookie e le relative inserzioni di vendita presenti sul dark web per sapere come sono stati rubati, quali sono i rischi per privacy e sicurezza e che tipo di informazioni contengono. Questo studio intende far luce sul modo in cui gli utenti di internet mettono in pericolo i propri account, il loro denaro e le informazioni private accettando i cookie senza riflettere sulle possibili conseguenze.
Il buono, il brutto e il necessario: i diversi tipi di cookie
Oggi, i cookie sono parte integrante del funzionamento di internet. In sostanza, si tratta di piccoli file di testo che un sito web memorizza sul dispositivo dell'utente. Tuttavia, esaminandoli in maniera più approfondita, ci si rende conto che sono molto più di questo. Analizziamo, dunque, i tipi di cookie più diffusi e i relativi rischi.
I cookie di prima parte vengono creati e utilizzati dai siti web che visiti. Ricordano le tue credenziali e ti mostrano contenuti personalizzati in base alle preferenze che memorizzano, quindi sono considerati essenziali per la funzionalità di base del sito web e la comodità dell'utente.
Sebbene siano generalmente meno invasivi dei cookie di terze parti, quelli di prima parte possono comportare gravi conseguenze per la sicurezza. I cookie consentono di mantenere l'accesso a siti web, account e servizi. Pertanto, non mettono a rischio solo i dati personali in essi archiviati, ma anche importanti informazioni di autenticazione. Inoltre, possono contenere dettagli come gli ID di sessione e gli identificativi degli utenti. Se una persona dovesse riuscire a mettere le mani su tali cookie, potrebbe usarli per riaprire le sessioni e accedere a informazioni più sensibili, come quelle degli altri account dell'utente o sui sistemi aziendali.
Clicca con prudenza: come vengono rubati i cookie?
Molti criminali informatici desiderano rubare, vendere o utilizzare i cookie e le informazioni in essi contenute per altri attacchi. Come riescono a impossessarsi dei dati di milioni di utenti attraverso i cookie? Utilizzano principalmente malware, come infostealer, trojan e keylogger. Ecco i tipi di malware più diffusi che abbiamo individuato durante il nostro studio:
Aurora
Un infostealer che si finge un'applicazione legittima nascondendosi dietro a numerosi zeri per evitare di essere rilevato dagli antivirus.
AZORult
Un infostealer che può rubare nomi utente e password, dati di carte di credito e portafogli di criptovalute, nonché scaricare altri malware.
CryptBot
Un infostealer destinato ai sistemi operativi di Windows, progettato per rubare le password degli account salvate nei browser, nei cookie, nelle informazioni di pagamento e nei portafogli di criptovaluta.
Dark Crystal Rat (DCRat)
Un trojan di accesso remoto, che consente ai criminali informatici di controllare a distanza il dispositivo infetto. Può essere usato per diversi scopi.
MetaStealer
Questo malware-as-a-service, disponibile al costo di $125 al mese oppure $1.000 per l'accesso permanente, prende di mira password e portafogli di criptovalute.
Mystic
Un malware che colpisce un'ampia gamma di browser ed estensioni per rubare informazioni, utilizzando chiamate di sistema e altre tecniche per evitare di essere rilevato.
Pennywise
Un infostealer che si diffonde tramite YouTube. Il suo efficiente multithreading permette di rubare diversi tipi di dati.
Predator The Thief
Questo malware, che è stato arricchito di ulteriori funzionalità anti-analisi per evitare di essere rilevato, è in vendita a partire da $150. Per ulteriori $100, è disponibile un modulo per il portafoglio di criptovalute.
Raccoon
Un malware-as-a-service con supporto tecnico. È meno subdolo perché invia i dati man mano che vengono raccolti e non dispone di tecniche di offuscamento, ma è molto diffuso e piuttosto efficace.
Redline
Un keylogger e infostealer pubblicizzato come malware-as-a-service al costo di $100 al mese. Include moduli di personalizzazione e funzionalità extra, come il download di altri malware.
Taurus
Un malware che si diffonde tramite malvertising e spam per indurre gli utenti a scaricarlo autonomamente. Utilizza l'offuscamento per evitare di essere rilevato.
Vidar
Un malware-as-a-service che raccoglie i dati del sistema operativo e degli utenti con configurazioni specifiche progettate per rilevare determinati tipi di dati.
I risultati: una realtà preoccupante
I ricercatori hanno analizzato una lista di 54 miliardi di cookie (54.008.833.188) disponibili sui mercati del dark web. Il 17% di questi, ovvero oltre 9 miliardi, erano attivi. I cookie attivi sono associati a un maggiore rischio in quanto vengono aggiornati in tempo reale mentre l'utente naviga su internet. Tuttavia, anche quelli inattivi, sebbene siano aggiornati diverso tempo prima, possono contenere informazioni sull'utente e persino essere utilizzati per ulteriori attacchi e manipolazioni.
Oltre la metà dei cookie attivi e inattivi è stata rubata utilizzando Redline, mentre una percentuale maggiore di cookie attivi è stata rubata tramite Predator-the-thief, Cryptbot, MetaStealer e Taurus (rispettivamente il 57%, il 51%, il 48% e il 44%). La natura del malware utilizzato dimostra che sia i criminali informatici esperti sia i principianti che utilizzano malware-as-a-service rubano dati per venderli online.
Di chi sono questi cookie?
Piattaforme
Oltre il 5% di tutti i cookie presenti nel campione proveniva da Google, l'1,3% da YouTube, oltre l'1% da Microsoft e un ulteriore 1% da Bing.
Il fatto che questi cookie siano in vendita rappresenta un rischio enorme per i loro proprietari. I cookie, infatti, sono destinati agli account di posta elettronica principali e possono essere utilizzati per ottenere altre credenziali di accesso. Anche se queste percentuali possono sembrare irrisorie, è bene notare che l'1% del campione totale corrisponde comunque a oltre 500 milioni di cookie, cioè una quantità enorme di dati degli utenti.
*NordVPN non è avallata, sostenuta o sponsorizzata dai proprietari delle piattaforme menzionate, né associata in alcun modo agli stessi. Tali piattaforme sono indicate al solo fine di riportare in modo accurato le informazioni relative ai cookie disponibili sui mercati del dark web.
Dispositivi
Quasi tutti i 54 miliardi di cookie sono stati estratti da dispositivi Windows (per via della natura del malware). Tuttavia, nel campione erano presenti oltre 31,5 milioni di cookie Apple. Questo dimostra le falle del sistema, perché gli utenti accedono ai loro account su piattaforme e dispositivi diversi.
I cookie presenti nel campione contenevano etichette di oltre 4.500 sistemi operativi differenti a causa della natura dell'SO in esecuzione sui diversi dispositivi: molte etichette avevano un nome specifico per il dispositivo e il modello piuttosto che un sistema operativo separato. Ciò sottolinea quanto sono dettagliati i dati memorizzati nei cookie, che potrebbero essere utilizzati per identificare nuovamente gli utenti.
Il sistema operativo più comunemente preso di mira è risultato Windows 10 Enterprise (oltre 16 miliardi e il 30% del totale), a dimostrazione di quanto sia aumentato il rischio di attacchi hacker per le aziende.
*NordVPN non è avallata, sostenuta o sponsorizzata dai proprietari dei marchi registrati menzionati, né associata in alcun modo agli stessi. Tali marchi sono indicati al solo fine di riportare in modo accurato le informazioni relative ai cookie disponibili sui mercati del dark web.
Paesi
La metà dei cookie non conteneva dati sul paese, sebbene il 95% fosse inattivo. I paesi più comunemente rilevati nei cookie che disponevano di questa informazione sull'utente erano Brasile, India, Indonesia, Stati Uniti e Vietnam. Se guardiamo all'Europa, la maggior parte dei cookie, ovvero 554 milioni, proveniva dalla Spagna. Sebbene il Regno Unito si sia classificato al 120° posto in termini di numero di cookie, oltre la metà di essi era attiva. Complessivamente, nel campione erano rappresentati utenti di 244 paesi e aree geografiche, il che sottolinea quanto sia esteso il raggio d'azione degli hacker e quanto siano avanzate le potenzialità dei malware.
Cosa c'è nel barattolo dei cookie?
I venditori avevano assegnato ai cookie pubblicizzati determinate parole chiave in modo che i potenziali acquirenti potessero verificare quali dati avrebbero trovato al loro interno. Le parole chiave più comuni associate ai cookie erano "ID assegnato" (10,5 miliardi) e "ID di sessione" (739 milioni): entrambe possono essere collegate a utenti specifici. A queste seguono 154 milioni di occorrenze della parola chiave "Autenticazione" (il 15% di cookie attivi) e 37 milioni di occorrenze per "Login" (il 18% di cookie attivi). Queste ultime due sono particolarmente pericolose: molti cookie sono ancora attivi, il che significa che potrebbero essere utilizzati per accedere ad account di altre persone.
Per quanto riguarda le informazioni personali, i cookie memorizzano principalmente il nome, la città, la password, l'indirizzo e-mail e quello fisico dell'utente. Inoltre, 9 milioni di cookie contenevano una determinata città, mentre oltre 2 milioni includevano anche l'indirizzo dell'utente. L'orientamento sessuale, sebbene meno frequente, è comunque apparso nel campione 500.000 volte, con un maggiore tasso di cookie attivi (26%). Questo crea un ulteriore rischio per i membri della comunità LGBTQ+: in alcuni paesi, infatti, rivelare che una persona ha un orientamento sessuale non considerato standard può portare a gravi conseguenze per la stessa.
Un criminale informatico potrebbe utilizzare i cookie attivi per accedere all'account personale di un utente. Le informazioni che vi si trovano, insieme ai dati dei file provenienti dai cookie stessi, consentirebbero di creare portafogli utenti dettagliati ed eseguire attacchi informatici contro le persone e i luoghi in cui lavorano.
I rischi nascosti: fai attenzione al mostro dei cookie
Sebbene ad alcuni individui i cookie possano sembrare una tecnologia innocua, 54 miliardi di cookie in vendita sul dark web rappresentano un rischio enorme sia per le persone che per le aziende. Le informazioni che memorizzano potrebbero favorire attacchi massicci online e nella vita reale.
Cosa potrebbe accadere se i cookie venissero rubati dal tuo dispositivo?
Se un hacker si impossessa di una raccolta di cookie provenienti da varie piattaforme e servizi, può utilizzarli per numerose attività pericolose:
Chiunque disponga di cookie contenenti identificatori di sessione potrebbe fingersi un altro utente e accedere senza autorizzazione ai suoi account senza neanche dover indovinare o rubare la password. I tuoi account di social media, posta elettronica e piattaforme e-commerce potrebbero essere a rischio.
Alcuni cookie potrebbero consentire a eventuali malintenzionati di accedere a una quantità di informazioni personali tale da permettere loro il furto d'identità. Se uno di questi individui dovesse entrare in un tuo account, potrebbe rubarti nome, indirizzo, numero di telefono o dati di pagamento e utilizzarli per commettere frodi o altri reati a tuo nome.
I cookie vengono usati per monitorare le abitudini e le preferenze di navigazione dell'utente. Chiunque abbia accesso a queste informazioni potrebbe sfruttarle, insieme ad altri dati che ha sul suo conto, per eseguire attacchi di phishing mirati. Se il campione è sufficientemente grande, può venderlo a terze parti interessate a realizzare campagne pubblicitarie mirate.
Alcuni siti web utilizzano i cookie per ricordare i dispositivi o gli indirizzi IP che hanno superato l'autenticazione a due fattori o altri controlli di sicurezza. Con i cookie di sessione contenenti i tuoi dati, un malintenzionato potrebbe aggirare queste misure e accedere più facilmente ai tuoi account protetti.
Cosa potrebbe accadere a una azienda se venissero rubati i cookie dai suoi dispositivi?
L'uso di cookie rubati, generati dall'utilizzo di internet da parte dei dipendenti, potrebbe comportare gravi violazioni dei dati, con ripercussioni su vari aspetti legati alle operazioni, alla sicurezza, alla reputazione e alla conformità legale.
Gli autori di attacchi possono utilizzare i cookie per ottenere l'accesso agli account aziendali, ai sistemi interni e ai database. In questo modo, possono rubare informazioni aziendali sensibili, proprietà intellettuali, dati finanziari, schede dei dipendenti e informazioni sui clienti. Impadronendosi di un sistema aziendale, gli hacker possono bloccare i relativi account in attesa del pagamento di un riscatto. Inoltre, possono effettuare transazioni o utilizzare il profilo dell'azienda per eseguire attacchi di phishing contro venditori e clienti.
Un'altra preoccupazione è rappresentata dai danni legali e da quelli relativi alla reputazione. La fuga di dati sensibili o riservati (come quelli contenuti nelle cartelle cliniche) può avere gravi conseguenze per l'azienda, tra cui le perdite finanziarie dovute al furto, le spese di risarcimento, le multe per violazione delle leggi sulla protezione dei dati (come l'RGPD o il CCPA) e il costo di notifica alle parti interessate. Inoltre, le aziende potrebbero dover affrontare i danni alla reputazione, la perdita della fiducia dei clienti, dei partner e degli stakeholder e la difficoltà di attrarre nuovi clienti o partner.
Rafforza le difese: come proteggere i cookie del tuo dispositivo dagli hacker
Alcune nuove abitudini e la consapevolezza generale sulla cybersecurity contribuiranno notevolmente alla protezione dei cookie relativi alla configurazione internet individuale o aziendale:
1. Usa una connessione sicura.
Abbonati a una VPN premium e crittografa la tua connessione internet in ogni momento. In questo modo, non solo impedirai che i cookie vengano intercettati durante la loro trasmissione, ma contribuirai anche a nascondere alcune informazioni di identificazione, come l'indirizzo IP, impedendo che i dati possano essere ricondotti a te.
2. Procurati un software di sicurezza aggiuntivo.
Alcuni fornitori di VPN, come NordVPN, offrono funzionalità di sicurezza aggiuntive che ti aiutano a evitare i malware che rubano i cookie. Threat Protection di NordVPN ti impedisce di accedere a siti web pericolosi e di phishing e analizza i file che stai per scaricare per verificare che non contengano malware.
3. Rifiuta i cookie.
Il modo migliore per evitare il furto di dati è non avere informazioni da rubare. La maggior parte dei siti web ti chiederà il permesso di utilizzare determinati cookie durante la sessione: puoi rifiutare molti di quelli di tracciamento. La funzionalità Threat Protection di NordVPN ti aiuterà ulteriormente, impedendo a tutti i tracker di terze parti di monitorare le tue attività online e di raccogliere informazioni su di te. Infine, puoi cancellare periodicamente i cookie in modo da rimuovere i dati vecchi o potenzialmente compromessi. Questo passaggio è particolarmente importante se utilizzi computer pubblici o condivisi.
I miei cookie? Non sono affar tuo
Per quanto riguarda la sicurezza degli utenti aziendali, la situazione è più o meno la stessa. Utilizza NordLayer, la VPN aziendale che ti aiuta a proteggere le connessioni, ad aggiornare regolarmente i tuoi dipendenti sulle migliori pratiche di cybersecurity e a implementare funzionalità di sicurezza interne per ridurre al minimo il rischio di attacchi informatici.
Metodo
NordVPN ha collaborato con ricercatori indipendenti che hanno raccolto il campione dai canali Telegram, dove gli hacker pubblicizzano le informazioni rubate che vendono. Tali ricercatori hanno rilevato i cookie attivi e inattivi, il tipo di malware utilizzato per rubarli e il paese da cui provenivano, nonché i dati che contenevano, ad esempio l'azienda che ha generato il cookie, il sistema operativo dell'utente e le categorie di parole chiave assegnate a quest'ultimo.
Nota: né NordVPN né i suoi partner di ricerca hanno acquistato i cookie rubati e/o hanno avuto accesso ai loro contenuti. I nostri partner si sono limitati ad analizzare i dati disponibili negli annunci di vendita dei cookie. Durante la stesura di questo rapporto di ricerca, abbiamo fatto molta attenzione a non violare la privacy o la sicurezza degli utenti.
Materiale per la stampa
Cerchi risorse per divulgare la nostra ricerca? Eccole.
Desideri maggiori informazioni sulla vita digitale? Consulta le altre ricerche!
Privacy dei dispositivi mobili: cosa vogliono sapere le app?
Per poter funzionare correttamente sui telefoni, Android e iOS necessitano di specifici permessi: ma qual è il limite di dati che possono richiedere? Abbiamo esaminato oltre un centinaio di app diffuse in tutto il mondo per capire quanto vogliono (e hanno bisogno di) sapere sugli utenti.
Salute o hacking? Analisi dei costi nascosti delle app per la salute
Le app per la salute possono donarci serenità e aiutarci a migliorare la nostra condizione fisica. Ma la domanda è: che ruolo gioca la tecnologia sanitaria nel nostro benessere digitale? Abbiamo intervistato 12.726 utenti provenienti da tutto il mondo per analizzare le modalità di utilizzo delle app per la gestione della salute e ciò che accade dietro le quinte.
La punta dell'iceberg: analisi dei dati rubati di 6 milioni di carte
Ogni giorno, vengono acquistati e venduti i dati rubati di migliaia di carte di credito. Per comprendere i rischi legati al furto di tali informazioni, i ricercatori hanno analizzato un campione di 6 milioni di carte di credito, i cui dati sono disponibili sui principali marketplace del dark web, ma non è che la punta dell'iceberg a livello mondiale.