Diverse forze dell’ordine si sono unite per abbattere Genesis Market, un sito Web che vende l’accesso a “oltre 80 milioni di credenziali di accesso all’account”, che includeva nomi utente e password standard, nonché dati molto più pericolosi come i token di sessione. Secondo a comunicato stampa del Dipartimento di Giustizia degli Stati Uniti, il sito è stato sequestrato martedì. L’Agenzia dell’Unione europea per la cooperazione nell’applicazione della legge (o Europol) dice che 119 utenti del sito sono stati arrestati.
Genesis Marketplace esiste dal 2018, secondo il Dipartimento di Giustizia, ed è stato “uno dei broker di accesso iniziale (IAB) più prolifici nel mondo del crimine informatico”. Consentiva agli hacker di cercare determinati tipi di credenziali, come quelli per account di social media, conti bancari, ecc., nonché di cercare credenziali in base a dove provenivano nel mondo.
Le agenzie hanno collaborato con HaveIBeenPwned.com per rendere facile per il pubblico verificare se le loro credenziali di accesso sono state rubate, e consiglio vivamente di farlo – a causa del modo in cui ha funzionato Genesis, questo non è il tipico “cambia la tua password e starai bene scenario .” Per istruzioni su come verificare se Genesis stava vendendo le tue informazioni rubate, dai un’occhiata la recensione di Troy Hunt, che gestisce HaveIBeenPwned.
(Il TL; DR è che dovresti iscriviti al servizio di notifica e-mail di HIBP con tutti i tuoi indirizzi e-mail importanti, quindi assicurati di fare clic sul pulsante “Verifica e-mail” nell’e-mail di conferma. Sto solo cercando la tua email sul sito non dirti se sei stato colpito.)
Approfondiremo cosa puoi fare per proteggerti se si scopre che le tue credenziali erano disponibili su Genesis – ecco un link per saltare a quella sezione, nel caso in cui tu abbia degli account davvero importanti – ma prima è utile capire come funzionava il mercato. In genere, questo tipo di aziende vende combinazioni di nome utente e password, insieme ad altre informazioni personali. E anche se di certo non vuoi che quelli vadano in giro, l’autenticazione a due fattori può aiutarti a proteggerti anche se la tua password è stata compromessa.
Mentre Genesis Marketplace scambiava nomi utente e password, vendeva anche l’accesso ai cookie e alle impronte digitali del browser degli utenti, il che poteva consentire agli hacker di aggirare le protezioni come l’autenticazione a due fattori. I cookie – o token di accesso, per essere precisi – sono file che i siti Web memorizzano sul tuo computer per mostrare che hai già effettuato l’accesso inserendo correttamente la tua password e le informazioni di autenticazione a due fattori. Sono il motivo per cui non devi accedere a un sito Web ogni volta che lo visiti. (Sono anche la ragione per cui allo sforzo congiunto di abbattere Genesis è stato dato il delizioso nome in codice “Operazione Cookie Monster”.)
Indubbiamente rendono il Web comodo da usare, ma rappresentano un rischio per la sicurezza se qualcuno dovesse impossessarsene, ad esempio convincendo un utente a scaricare un pezzo di malware e quindi caricandolo sui server di un hacker. Secondo il DOJ, i dati venduti su Genesis provenivano da “oltre 1,5 milioni di computer compromessi in tutto il mondo”.
Gli sviluppatori Web, tuttavia, sono a conoscenza di questa possibilità e spesso integrano protezioni aggiuntive. Una si chiama fingerprinting, che è una tecnica che esamina un sacco di informazioni sul tuo computer, come il browser che stai utilizzando, i font che hai installato, l’hardware che hai, ecc. Il fingerprinting è spesso usato per la pubblicità ma può essere utile anche per la sicurezza; se un cookie è associato a un Mac che esegue Firefox, sarebbe un po’ sospetto se fosse improvvisamente utilizzato per accedere a un account utilizzando Chrome su un PC Windows.
Quindi Genesis ha rubato anche le impronte digitali. Inoltre, ha persino fornito un’estensione del browser che consente agli hacker di falsificare l’impronta digitale della vittima mentre utilizzano il loro cookie di accesso per ottenere l’accesso a un account, secondo un rapporto del 2019 da ZDNET.
Lo YouTuber Linus Tech Tips ha una grande analisi di come funziona questo tipo di attacco, poiché la tecnica è stata recentemente utilizzata per conquistare il canale. (Anche se, per essere chiari, sembra che l’hacker abbia ottenuto le loro credenziali prendendo di mira direttamente loro, non tramite un mercato come Genesis.)
Cosa fare se le tue informazioni erano su Genesis Marketplace
Quindi hai ricevuto un’e-mail da Have I Been Pwned in cui si dice che i tuoi dati sono stati trovati nel set di dati Genesis. Secondo l’FBI e la polizia olandese, il primo passo dovrebbe essere quello di uscire da tutti i tuoi account su ogni browser web sul tuo computer prima di cancellare i cookie e le cache. Se ti viene data la possibilità, assicurati di eliminare i dati per sempre, non solo per l’ultima settimana o giù di lì, solo per sicurezza. Ciò assicurerà che tu sia disconnesso da tutto e dovrebbe rendere non validi tutti i token di sessione che avevi.
Dopo questo passaggio, non hai finito. Se i tuoi dati sono stati rubati da malware, è molto probabile che siano ancora in esecuzione sul tuo dispositivo, pronti a rubare i nuovi cookie di accesso e caricarli su un altro marketplace. Ecco perché è necessario eseguire una scansione antivirus o ripristinare completamente il computer prima di accedere nuovamente a qualsiasi cosa. Personalmente, utilizzo Malwarebytes ogni volta che devo dare la caccia ai virus, ma ecco alcune guide rapide su come eliminare il malware su Windows e su Mac. (Sì, anche i Mac hanno virus.)
Successivamente, dovresti essere in grado di accedere nuovamente ai tuoi account. Vale la pena dare un’occhiata Discussione su Mastodon dell’esperto di sicurezza Brian Krebs per informazioni su come esattamente i computer vengono infettati perché non sempre tramite metodi ovvi e facili da individuare come i file denominati “ClickMe_NOTAVirus.exe”. Conoscere alcuni dei segnali di allarme a cui prestare attenzione e vettori di infezione comuni come i siti di condivisione di file può aiutarti a evitare di essere reinfettato da malware che ruba l’accesso.