In occasione del ‘Privacy Tour 2024’, iniziativa promossa dal Garante della Protezione dei Dati Personali, Kaspersky sottolinea l’importanza della sicurezza dei dati sensibili in un panorama delle minacce dove gli attacchi data-stealing sono in forte aumento. Partito oggi da Messina, il Privacy Tour 2024 coinvolge numerose realtà, tra cui Kaspersky che è tra le aziende che hanno firmato e aderito al progetto con l’obiettivo di contribuire alla riduzione del digital gap, aumentando la consapevolezza e le conoscenze in materia di sicurezza informatica.
Sebbene il numero di file di log – e quindi di infezioni – nel 2023 abbia subito solo un calo minimo pari al 9% rispetto al 2022, questo non implica che la richiesta di login e password da parte dei criminali informatici sia diminuita. È, infatti, possibile che alcune credenziali compromesse nel 2023 siano state divulgate nel dark web nel corso dell’anno in corso. Di conseguenza, è probabile che il numero effettivo di infezioni sia ancora più alto e dovrebbe raggiungere circa i 16.000.000 nel 2023.
In media i criminali informatici rubano 50,9 credenziali di accesso per ogni dispositivo infetto, utilizzandole per i propri scopi dannosi, tra cui attacchi informatici, vendita o distribuzione gratuita sui forum del dark web e sui canali shadow di Telegram. Inoltre, secondo i dati di Kaspersky, negli ultimi 5 anni 443.000 siti web in tutto il mondo hanno subito le violazioni delle credenziali.
Per quanto riguarda il numero di account compromessi da infostealer nel 2023, il dominio .com risulta essere al primo posto con quasi 326 milioni. In Europa, il dominio .it, associato all’Italia, si classifica al terzo posto con 4,2 milioni[1] di account compromessi l’anno scorso, subito dopo Francia (4,5) e Spagna (4,4).
| Estensione del dominio di primo livello | Numero di credenziali compromesse per dominio, 2023 | |
| 1 | .com | 325.900.000 |
| 2 | .fr | 4.500.000 |
| 3 | .es | 4.400.000 |
| 4 | .it | 4.200.000 |
| 5 | .de | 2.700.000 |
“Il valore nel dark–web dei file di log con credenziali di accesso varia a seconda dell’interesse dei dati e del modo in cui vengono commercializzati. Le credenziali possono essere vendute tramite un servizio di abbonamento con aggiornamenti regolari, un cosiddetto “aggregatore”, per richieste specifiche, o tramite un “negozio” che vende credenziali di accesso acquisite di recente esclusivamente ad acquirenti selezionati. I prezzi in questi negozi partono di solito da 10 dollari per file di log. Questo evidenzia quanto sia fondamentale sia per i singoli che per le aziende prestare sempre attenzione, soprattutto nel caso di grandi community di utenti online. Le credenziali divulgate rappresentano una grave minaccia, in quanto consentono ai criminali informatici di eseguire vari attacchi come accessi non autorizzati, social engineering o impersonificazione“, ha commentato Cesare D’Angelo, General Manager Italy & Mediterranean di Kaspersky.
La vendita di credenziali di accesso compromesse rappresenta una parte significativa del mercato del dark web. Solitamente queste credenziali possono comprendere login per social media, servizi bancari online, portafogli di criptovalute e vari servizi online aziendali, come la posta elettronica e i sistemi interni. Negli ultimi due anni il team Kaspersky Digital Footprint Intelligence ha rilevato quasi 40.000 post, in media 1.731 al mese, sul dark web riguardanti la vendita di informazioni aziendali riservate con lo scopo di acquistare, vendere o diffondere dati rubati a varie aziende attraverso cyber attacchi. I dati per accedere alle infrastrutture aziendali sono molto diffusi sul dark web: tra gennaio 2022 e novembre 2023 si contano oltre 6.000 messaggi con una crescita media mensile pari al 16%. Sebbene il numero di messaggi possa non sembrare elevato, questo non riduce la portata del problema: gli attacchi alla supply chain sono sempre più diffusi e quindi le le falle che interessano le aziende più piccole potrebbero aggravarsi fino a colpire numerosi individui e aziende a livello globale.
La crescente diffusione di strumenti basati sull’intelligenza artificiale non è passata inosservata ai cyber criminali e il furto di credenziali per i servizi AI è una tendenza in crescita. Negli ultimi tre anni, ad esempio, sono state compromesse con malware info-stealer 1.160.000 credenziali di accesso all’applicazione Canva, uno strumento di progettazione grafica basato sull’IA. I risultati di Kaspersky Digital Footprint Intelligence hanno mostrato che queste credenziali sono apparse nei forum del dark web e nei canali shadow di Telegram. Anche OpenAI, una delle aziende di AI più note, ha visto trapelare le credenziali degli utenti a causa di malware data-stealer: quasi 668.000 credenziali per i servizi dell’azienda, tra cui ChatGPT, sono state compromesse tra il 2021 e 2023 e trovate su canali nascosti. In particolare, nell’ultimo anno di adozione massiccia dei chatbot, il numero di login e password trapelate è aumentato di quasi 33 volte nel 2023 rispetto all’anno precedente.
Il mercato del dark web per le credenziali può essere analizzato anche dal punto di vista della domanda di questi account, in particolare esaminando il numero di post in cui i criminali informatici offrono o cercano di acquistare file di log infostealer contenenti queste credenziali compromesse. A marzo 2023, dopo il rilascio della quarta versione, la richiesta di account di ChatGPT da parte dei cyber criminali ha, infatti, registrato una crescita, stabilizzandosi allo stesso livello di altri servizi di IA.
Per difendersi dai malware data-stealing, Kaspersky consiglia di utilizzare una soluzione di sicurezza completa per qualsiasi dispositivo. In questo modo si possono prevenire le minacce e segnalare i pericoli, come i siti sospetti o le e-mail di phishing che possono essere un primo vettore di attacco. Inoltre, le aziende possono aiutare i loro utenti, dipendenti e partner a proteggersi dalla questa minaccia monitorando in modo proattivo le fughe di dati e invitando gli utenti a cambiare immediatamente le password violate.
Alla luce di questa crescente minaccia, Kaspersky ha creato una landing page dedicata per aumentare la consapevolezza del problema e fornire informazioni per ridurre i rischi associati.
[1] Il dominio di primo livello con codice paese (ccTLD) è generalmente riservato all’uso in un paese specifico. Tuttavia, può essere utilizzato anche da siti web che operano a livello mondiale e che non sono necessariamente legati a un Paese specifico, influenzando così le statistiche.
