- SandBox Information Center
- Malware Analysis Search
- Articoli sulla sicurezza
- Blog sulla sicurezza [EN]
- Livello di pericolosità [EN]
- Minacce attuali di virus
- Tipi di malware [EN]
- Descrizione dei virus [EN]
- Statistiche sulla posta elettronica [EN]
- Testi, white paper generici ed altro
- La tecnologia Norman
Molti account di posta elettronica gratuiti compromessi
Introduzione
All'inizio di questo mese sono state compromesse diverse decine di migliaia di password degli account di posta elettronica gratuiti di Microsoft (Hotmail), Google (GMail) e Yahoo. In un post in un blog Microsoft ha dichiarato che le credenziali di diverse migliaia di account Hotmail erano reperibili da un sito Web di terze parti.
Come è potuto succedere?
Nel post sul blog Microsoft viene riferito che il problema si è verificato a seguito di una violazione della sicurezza del sistema Microsoft. Non abbiamo motivo di dubitarne. Una violazione della sicurezza sembra alquanto improbabile, però, se si considera che sono stati colpiti anche Google e Yahoo.
La spiegazione più accreditata sarebbe uno schema di phishing, come suggerito da Microsoft e Google.
Non disponiamo di informazioni specifiche sulle tecniche di phishing utilizzate. L'argomento è stato tuttavia esaminato in diversi articoli sulla sicurezza pubblicati nel corso dell'anno. Informazioni più esaustive a riguardo sono disponibili in due delle guide Norman, disponibili di seguito.
Statistiche sulle password
Un ricercatore specializzato in sicurezza è riuscito a recuperare più di 10.000 password Hotmail rubate dal sito Web sul quale sono state pubblicate, prima che il sito diventasse non disponibile per "attività di manutenzione".
Il ricercatore ha analizzato le password; di seguito vengono riportate alcune delle sue scoperte più "interessanti":
- Una delle password utilizzate è composta da un carattere soltanto
- La password di gran lunga più utilizzata è 123456
- La quarta password più utilizzata è 111111
- Tra le 20 password più utilizzate, nessuna contiene caratteri speciali (non alfanumerici, come * % - $ e simili)
- Soltanto il 6% delle password utilizzate contiene una combinazione di caratteri alfabetici, numerici e speciali
- La password più lunga è composta da 30 caratteri (soltanto alfabetici)
Occorre tenere presente tuttavia che i risultati potrebbero non essere spaventosi come sembrano di primo acchito. Sembra logico supporre che esista un'elevata correlazione tra le vittime del phishing e le persone che utilizzano password facilmente violabili. Le statistiche sulle password offrono comunque uno spunto alla riflessione per coloro che si intendono di sicurezza.
Per ulteriori informazioni sulle password, consultare il post sul blog di Bogdan Calin sul sito Web di acunetix.
Risorse sul phishing sul sito Web di Norman
| Utilizzo | Titolo | Commento |
|---|---|---|
| Guida | The little green book of phishing | |
| Guida | The little green book on identity theft |