FOCUS ON LINE - RIVISTA N° 3, 30 marzo 2020

Nuove Tecnologie, Internet, privacy e sicurezza

Coronavirus: Servizi di streaming, chi li usa davvero al posto nostro?
Alcuni suggerimenti dei ricercatori Proofpoint su come proteggersi dal furto di credenziali

In questo difficile momento, in cui le persone, in tutto il mondo, sono invitate a rimanere nelle loro abitazioni a causa della pandemia di Coronavirus, i servizi di streaming video ed audio stanno cambiando radicalmente il settore dell'intrattenimento: servizi come Netflix, Hulu, Disney+, Spotify e Apple Music hanno rivoluzionato il modo in cui accediamo e consumiamo film, spettacoli televisivi e musica.

Questo massiccio cambiamento, però, non è passato inosservato ai cybercriminali, che hanno trovato il modo di sottrarre agli utenti credenziali valide per lo streaming e venderle a prezzi estremamente scontati. I servizi di streaming hanno riscontrato una crescita esponenziale sia in termini di popolarità sia di effettiva domanda, e questo li rende ancora più attraenti per gli hacker.

Spesso i titolari degli account non sanno nemmeno di condividere i servizi di streaming con malintenzionati o utenti non autorizzati. Gli aggressor, probabilmente, seguiranno questo modello e si concentreranno, ulteriormente, sul furto e la vendita delle credenziali.

I ricercatori di Proofpoint, la società che offre soluzioni per la sicurezza e la conformità più efficaci per proteggere le persone su ogni canale (email, web, cloud e social media),.hanno esaminato più da vicino questo problema per capire cosa stia accadendo e hanno pubblicato un blog () che spiega come vengono rubate e sfruttate le credenziali e come gli utenti possono proteggere i i loro account.

Raccomandiamo ai consumatori - sottolinea Sherrod DeGrippo, Senior Director Threat Research di Proofpoint - alcuni semplici step per proteggere i loro account ed identificare e rimuovere eventuali utenti non autorizzati.

Come vengono rubate le credenziali di streaming - I modi in cui i cybercriminali possono rubare valide credenziali per i servizi di streaming sono tre: malware, credential phishing e credenziali sottratte in precedenza combinate con il riutilizzo delle password.

Malware - Il malware, lo ricordiamo, comprende qualsiasi tipo di codice dannoso che viene tipicamente distribuito tramite email o siti web e poi installato su sistemi e server per interrompere, disabilitare o prendere il controllo di questi dispositivi. Per evitare il rilevamento, gli aggressori nascondono il malware nei file, lo mascherano in modo che sembri un'applicazione legittima o utilizzano altre tecniche di offuscamento per aggirare i controlli di sicurezza e il rilevamento degli utenti. Alcuni tipi di malware sono progettati per cercare e rubare informazioni relative agli account. Questi keylogger e "information stealer", tra gli altri, esistono da anni e vengono regolarmente utilizzati per rubare nomi utente, password e informazioni sulle carte di credito. Ciò significa che se un sistema o dispositivo viene infettato, gli aggressori sono in grado di rubare le credenziali insieme ad altre informazioni preziose.

Credential Phishing - Gli autori delle minacce lanciano attacchi di phishing per accedere alle credenziali legate a questi servizi. Il credential phishing, di solito, inizia con un'email che segnala un problema all’account e richiede attenzione immediata, come difficoltà di pagamento o un aggiornamento dell’indirizzo di fatturazione, e chiede di cliccare su un link per entrare nell’account e correggerlo. Cliccando, si viene portati su un sito molto simile alla home page del sito ufficiale, spesso una copia quasi perfetta del sito legittimo, il che può rendere difficile distinguerli. Una volta arrivati sulla falsa home page, viene richiesto di inserire nome utente e password. A quel punto gli aggressori si sono impossessati delle informazioni e possono utilizzarle per accedere all’account, proprio come l’utente. I siti non cercheranno solo di rubare le credenziali, ma attiveranno anche pagine di inserimento dei dati di pagamento per cercare di rubare anche i dettagli della carta di credito.

Credenziali sottratte in precedenza/Riutilizzo della password- Gli hacker possono anche ottenere accesso agli account di streaming grazie ad una combinazione di credenziali precedentemente rubate e riutilizzo della password, una pratica talvolta definita "credential stuffing". In questi casi, le informazioni relative all’account non vengono rubate direttamente, ma i cybercriminali prendono nomi utente e password precedentemente rubati altrove e li provano sui servizi di streaming. Se qualcuno, cui sono state rubate le credenziali, utilizza lo stesso nome utente e password, gli aggressori potranno accedere a quell'account.

Quando gli hacker ottengono le credenziali di streaming, le vendono ad altri che le useranno per accedere a questi servizi, e molto probabilmente l’utente non se ne accorgerà mai. Il processo di vendita online è relativamente sofisticato. Ci sono diverse opzioni di vendita, il venditore offre una garanzia e anche informazioni di contatto in caso di problemi.Le credenziali rubate vengono vendute a una frazione del prezzo di un abbonamento legittimo, con la raccomandazione che l'acquirente non può modificare il nome utente o la password dell'account in quanto ciò annullerebbe la garanzia. Ancor più importante, la modifica delle credenziali di accesso avviserebbe anche il vero titolare dell'account che ne ha perso il controllo, e probabilmente avvierebbe un processo di recupero che bloccherebbe l'utente non autorizzato. Gli aggressori che abusano delle credenziali fanno assolutamente tutto il possibile per evitare di essere scoperti perché ciò metterebbe fine alla loro capacità di utilizzare le credenziali rubate.

La maggior parte dei principali servizi di streaming offre tra le impostazioni anche opzioni per gestire i dispositivi collegati con l'account. Per confermare immediatamente se ci sono utenti non autorizzati, la raccomandazione, quindi, è quella di accedere alle impostazioni per esaminare le recenti attività di streaming associate.

Se si nota un'attività non autorizzata è allora necessario cambiare la password con una nuova più forte prima di uscire da questi dispositivi, altrimenti gli aggressori potranno continuare a utilizzare le stesse credenziali per accedere all’account.

Il modo migliore per proteggere in modo proattivo le proprie credenziali di streaming è quello di mantenere aggiornati il sistema operativo, i browser e i plug-in e non cliccare mai sui link inseriti nelle email o negli allegati per visitare un sito di streaming: è sempre meglio, ad esempio, digitare un indirizzo web direttamente nel browser. È, inoltre, importante utilizzare sempre una password unica e forte per ogni sito di streaming, idealmente in combinazione con un password manager.

Inoltre, molti servizi di streaming forniscono un'opzione che notifica ogni volta che un nuovo dispositivo si connette all’account. La selezione di questa opzione permette di verificare che ogni dispositivo sia autorizzato e di intervenire in caso contrario.