da Hardware Upgrade :
La met circa degli account le cui credenziali vengono rubate a seguito di attacchi di phishing vengono provati manualmente entro 12 ore da quando il binomio user/password diventa di pubblico dominio.
Sono i ricercatori di sicurezza di Agari che hanno evidenziato la dinamica, disseminando sul web migliaia di credenziali fasulle ma architettate per passare come proprie di utenti reali iscritti a servizi cloud. In particolare le credenziali sono state fatte circolare su siti web e forum “underground” noti per ospitare elenchi di nomi utente e password trafugati a seguito di attacchi o incidenti informatici.
L’analisi stata condotta su un arco temporale di sei mesi, scoprendo che l’accesso agli account viene eseguito manualmente entro poche ore dalla circolazione delle credenziali. L’accesso viene effettuato per circa la met degli account entro 12 ore dall’effettiva circolazione delle credenziali. Il 20% entro un’ora e il 40% entro sei ore. I dati raccolti dai ricercatori di Agari evidenziano come tutto venga sfruttato il pi velocemente possibile. D’altra parte, per quanto gli utenti potrebbero scoprire solo dopo molto tempo che il proprio account stato compromesso, negli interessi degli attaccanti sfruttare tali account quanto prima per evitare che vengano resi inaccessibili da un semplice cambio password.
Un aspetto abbastanza sorprendente che quasi tutti gli account vengono provati manualmente. Questo permette per agli attaccanti di provare con accuratezza le credenziali in loro possesso, oltre a compiere altre azioni dannose o recuperare ulteriori informazioni di valore come ad esempio altre credenziali o dati sensibili. Si tratta di un modus operandi che ha una sua efficacia: laddove si disponga di credenziali sottratte tramite una campagna di phishing possibile compromettere un account, sfruttarlo per ulteriori campagne di phishing che possono compromettere altri account e cos via.
I ricercatori osservano poi che gli account compromessi vengono spesso abbandonati nel giro di una settimana, probabilmente perch gli aggressori hanno sfruttato tutto ci che stato possibile sfruttare e si sono spostati su altri nuovi account.