skip to Main Content

Cybercrime, anche l’Italia presa di mira dallo Strudel Attack per rubare credenziali

Cybercrime, Anche L’Italia Presa Di Mira Dallo Strudel Attack Per Rubare Credenziali

Anche l’Italia è colpita dallo Strudel Attack: una campagna di furti in massa di credenziali e numeri di carte di credito. Il cybercrime, sfruttando una botnet IoT, attacca siti deboli come quelli porno. Poi, grazie ai dati rubati, punta ai portali di pagamento

Il cybercrime ha lanciato un’operazione su vasta scala per rubare credenziali e numeri di carte di credito dai principali siti Web di tutto il mondo, che colpisce anche l’Italia. Lo hanno scoperto gli esperti di sicurezza informatica di MalwareMustDie (MMD), i quali hanno rilevato che gli hacker malevoli usano la tecnica di attacco diretto SSH TCP e una botnet IoT per fare soldi.”I bad actors sfruttano siti deboli, che hanno falle e raccolgono tutti i nomi utente, le password e gli indirizzi email – ha detto MMD in un’intervista a Pierluigi Paganini su Infosec Institute -. I siti Web per adulti e i siti di fotocamere live sono un obiettivo privilegiato a causa della mancanza di sicurezza. Poi, prendono di mira i siti di pagamento finanziari come PayPal. Non attaccando direttamente la sicurezza front-end sul sito web. Usano l’API sull’URI, che consente ad alcuni dispositivi mobili di accedere a questi siti di pagamento”.

Le vittime italiane accertate della campagna di credential harvesting

Per quanto riguarda l’Italia, sono 140 le vittime della campagna di furti di credenziali, accertate da MalwareMustDie. Paganini ha spiegato che MMD e Odisseus lo hanno aiutato a compilare la lista e che questa include molti mali servers. Questa è stata, ovviamente, inviata alle forze di polizia del nostro paese e al “Team Digitale” del governo, il quale sta già lavorando al caso. Comunque, tra le entità colpite dal cybercrime ci sono Alma Mater Studiorum Universita di Bologna, Siae, Ansaldo S.p.A. WAN, Telecom Italia S.p.A., Universita degli Studi di Milano, FAO (Food and Agriculture Organization), Bankadati Servizi Informatici Soc. Cons. p. A., Intesa Sanpaolo Group Services S.c.p.A., Cedecra Informatica Bancaria SRL, DADAnet Italia, BANCA CARIGE S.p.A., Italiaonline S.p.A., Tiscali SpA, Fincantieri Cantieri Navali Italiani, Server Plan S.r.l., Banca Popolare di Milano, Telecom Italia e FastWeb.

Gli esperti di sicurezza informatica: i criminali cibernetici sfruttano gli indirizzi e-mail raccolti da questi siti per ottenere più dati finanziari degli utenti e vedere se si sono registrati con le stesse password. Cercano anche di accedere ai social network e ai siti di online banking per rubare ulteriori dati finanziari

Gli hacker del cybercrime “‘pompano’ gli indirizzi email raccolti da questi siti per ottenere più dati finanziari degli utenti. Vedono se possono essere registrati con le stesse password. Il processo non si ferma qui. Continuano l’hacking usando URL specifici per accedere ad altri siti (es. siti di online gaming) e controllare se possono accedere con le stesse credenziali – ha aggiunto MalwareMustDie -. Inoltre, tentano di accedere a piattaforme di social network come LinkedIn, Account Google, Yahoo, Facebook e molti portali internazionali come Yandex, Rambler o Mail. RU. A questo punto provano ad accedere a diversi indirizzi email per vedere i dati all’interno (se possibile). Infine, si indirizzano verso alcuni siti di online banking e vendita, in ogni paese utilizzando indirizzi e-mail specifici di quella nazione, per ottenere le credenziali che possono essere utilizzate per rubare ulteriori dati finanziari”.

Come opera il gruppo del cybercrime

Secondo gli esperti di sicurezza informatica della MMD, gli hacker  del cybercrime “controllano i server di posta elettronica in ogni paese correlato degli indirizzi di posta elettronica precedentemente raccolti. Prima vedono dove si trovano i server, poi se adottano il protocollo IMAP o POP. Per i server IMAP tentano di hackerare nuovamente le credenziali raccolte tramite attacco HTTP – sottolineano gli esperti di cyber security nell’intervista . Per quelli POP, cercano di accedere direttamente al protocollo POP e al protocollo SMTP nel tentativo di ottenere l’accesso diretto alla casella di posta. Questo succede in relazione agli indirizzi email raccolti in tutto il mondo. Ciò significa che siamo di fronte a un’operazione su vasta scala per il furto di massa di credenziali. Riteniamo che l’obiettivo principale sia quello di rubare i dati delle carte di credito”.

Chi sono gli attori malevoli? Criminali informatici o hacker di stato?

Chi sono questi hacker malevoli? Un classico gruppo del cybercrime o una formazione sponsorizzata da qualche nazione? Gli esperti di sicurezza informatica di MalwareMustDie credono che “questa sia un’operazione su larga scala. E’ un lavoro da professionisti. Continuando le indagini sul collector e lavorando sul database dei bad actors che abbiamo raccolto nel corso degli anni, abbiamo confrontato lo schema di hacking di questo gruppo con quelli di altri threat actors. Abbiamo trovato una corrispondenza positiva per una gang di truffatori, di cui pensavamo molti loro elementi fossero stati arrestati. Ma la recente campagna di harvesting suggerisce che alcuni di loro siano ancora a piede libero. Stanno vendendo carte di credito sul loro sito web speciale, e ne hanno tante. Rendendoci conto che gli attori dietro questi siti sono gli stessi che hanno lanciato la campagna di raccolta, abbiamo contattato le forze dell’ordine fornendo queste informazioni. La polizia sta indagando”.

Back To Top