Prima rubano - un bottino di migliaia di password e username, sottratti con il phishing - e poi condividono, per sbaglio, il loro tesoro con il resto del mondo. La scoperta fatta dai ricercatori informatici di due società di cybersicurezza, Check Point e Otorio, ci dimostra che anche gli hacker a volte sbagliano e in modo grossolano, per quanto abili possano essere nei loro attacchi. Con una campagna di phishing via posta elettronica, avviata nell’agosto dello scorso anno, erano state le credenziali aziendali di oltre mille dipendenti, che gli autori dell’attacco avevano memorizzato sui loro server. Lasciandole però, per errore, visibili sul Web.
Più precisamente, le email di phishing di questa campagna avevano l’aspetto di notifiche di scansione Xerox. I destinatari venivano inviati ad aprire un allegato Html (allegato che era in grado di passare i controlli del filtro Atp di Microsoft Office 365) con il quale venivano indirizzati verso una pagina di login che si spacciava come pagina ufficiale di Xerox. Una volta inserite, le credenziali venivano inviate e memorizzate su server compromessi, all’interno in un file di testo.
Su questi server compromessi, nell’attesa che gli hacker usassero le credenziali, Google ha indicizzato il file di testo e lo ha reso disponibile, potenzialmente a chiunque, attraverso il proprio motore di ricerca. In altre parole, le credenziali rubate erano a disposizione di chiunque potesse richiedere un indirizzo email rubato con una semplice ricerca su Google. Per gli hacker questo è stato un errore grossolano, per le vittime un pericolo moltiplicato all’ennesima potenza.
“Tendiamo a credere”, spiega David Gubiani, regional director SE Emea Southern di Check Point, “che quando qualcuno ruba le nostre password la peggiore delle ipotesi è che le informazioni vengano utilizzate all’interno del dark web. Non in questo caso. Qui, tutte le persone avevano accesso alle credenziali rubate. La strategia degli aggressori è stata quella di memorizzare le informazioni rubate su una specifica pagina Web da loro creata. In questo modo, dopo aver protratto le campagne per un certo periodo di tempo, gli aggressori hanno potuto scansionare i server compromessi per le rispettive pagine web, raccogliendo le credenziali. Però, non pensavano che anche Google è in grado di scansionare le stesse pagine. Si è trattato di un chiaro fallimento di operation security per gli aggressori”.