Mai un'operazione di spam si era allargata tanto: 711,5 milioni di caselle email sono state il bersaglio di una spambot osservata e denunciata in questi giorni da alcuni ricercatori di cybersicurezza, e per primo dal francese Benkow. All'inizio di quest'anno si era arrivati a contare 393 milioni di indirizzi di posta elettronica fra i dati rubati dagli archivi di una società di email marketing, River City Media. A ragione, quindi, adesso si scomoda ancora l'espressione “da record”, sebbene non tutti gli indirizzi di posta elettronica raggiunti dalla nuova ondata di spam sembrino corrispondere ad account attivi.
Questo ultimo dettaglio è stato verificato da un altro ricercatore, Troy Hunt, che è anche il gestore del sito Have I Been Pwned, sul quale è possibile controllare se il proprio indirizzo email sia finito nelle liste degli spammer. A detta di Hunt, pur facendo la tara ed escludendo gli account non esistenti, il rischio di essere tra i bersagli riguarda una popolazione immensa. E c'è di più, come spiegato ai giornalisti di Bbc dall'esperto di spam (ex Cio di Spamhaus) Richard Cox: “La lista degli indirizzi di posta è piuttosto grande, ma probabilmente non più di quanto già osservato in precedenza. Ciò che preoccupa di più è la lista degli account compromessi”. Gli autori dell'operazione di spam, in questo caso, non si sono limitati a inviare comunicazioni indesiderate, ma hanno diffuso via mail frammenti di codice malevolo, con il quale potevano raccogliere dati dati computer infettati.
Le analisi dei due ricercatori hanno permesso di comprendere il meccanismo della spambot, una rete che invia messaggi di posta indesiderata in automatico e su larga scala, servendosi di una serie di email server (Smtp). Per accedere a quest'ultimi, i criminali informatici devono prima intercettarne le password di sbarramento, sfruttando sistemi di generazione automatica di parole chiave. Operazioni come questa non mirano solo a intasare le caselle di centinaia di milioni di utenti, ma possono anche diffondere malware.
I dati visionati da Benkow comprendevano circa 40 GB di indirizzi di posta, password (per lo più non crittografate) e configurazioni di server Smtp. Da dove provengono gli indirizzi email trafugati? A detta del ricercatore, in piccola parte (circa due milioni) da campagne di phishing eseguite attraverso Facebook, ma per lo più la loro origine resta nel mistero. Un'ipotesi possibile è che almeno parzialmente la fonte di data leak originaria sia l'attacco realizzato ai danni di LinkedIn nel 2012.
E il fatto che vecchi dati e credenziali restino in circolazione per anni, passando di mano in mano negli ambienti cybercriminali, ci ricorda ancora una volta l'importanza di aggiornare le credenziali usate per accedere a vari servizi, social network e posta. "Violazioni come questa evidenziano ancora una volta l’importanza di agire con consapevolezza quando si tratta di gestire e utilizzare password”, ha commentato Giovanni Verhaeghe, director product and market strategy di Vasco Data Security. “Resettare le password compromesse può essere un buon inizio, ma la violazione ha avuto poco a che fare con le password utilizzate. Piuttosto, è stata il risultato della facilità con cui vi si è potuto accedere dall'esterno”.
La responsabilità, dunque, sta anche nelle mani dei provider di servizi Web, i quali però non hanno vita facile. “Quando un account compromesso viene usato per creare spam”, ha spiegato Richard Cox, “soltanto i prodiver possono fermare la sua azione, sospendendo l'account. Quando però i numeri coinvolti sono così alti, chi si occupa di sicurezza e abusi all'interno dei provider si ritrova sommerso e il processo è lento. Per questo lo spam continua a propagarsi”.