Come usano gli account Skype i criminali informatici?

Vi è mai capitato di chiedervi per quale motivo un criminale informatico possa essere interessato al vostro account Skype? Non si tratta di un aspetto marginale: negli ultimi mesi i principali esperti di sicurezza hanno individuato numerosi forum in cui sono commercializzati migliaia di account Skype appartenenti ad utenti spesso ignari del furto di cui sono vittime.

Nell’ecosistema criminale un account Skype è una merce preziosa per diversi motivi. Un attaccante potrebbe utilizzare il credito della vittima per scopi personali, oppure utilizzare l’account per distribuire link a siti web compromessi e malware, oppure per condurre attacchi di tipo TDoS (Telephony Denial of Service) come spiegherò a breve.

Il fattore che va opportunamente considerato è che tutti gli attacchi sopra descritti sono facilmente eseguibili e non richiedono particolari abilità da parte degli attaccanti. Nell’ Internet underground è facile reperire applicazioni (DIY tools) per condurre ogni genere di attività fraudolenta.

Di seguito sono proposte alcune schermate di un tool molto efficace dedicato al popolare Skype e venduto attraverso alcuni forum dediti ad attività illegali. Il tool è tecnicamente definibile come “ring flooder”, il software una volta eseguito ricerca altre applicazioni Skype in esecuzione ed appena le rileva inizia a chiamare tutti i numeri all’interno di un intervallo prefissato fornendo la possibilità all’attaccante di mantenere anonime le sue connessioni mascherandole attraverso l’utilizzo di un proxy

Immagine1

Con tool simili i criminali informatici possono inondare di chiamate numeri utilizzati per l’erogazione di servizi, pensiamo ai numerosi centralini che accolgono a vario titolo le richieste di una particolare utenza, ad esempio come i numeri appartenenti un servizio di vigilanza. E  un’applicazione simile, completa di manuale, costa solo 490 rubli, l’equivalente di circa 10 Euro.

Su molti siti è possibile anche acquistare applicazioni che consentono l’invio di SMS da account Skype cui sia presente del credito, anche in questo caso, l’applicazione una volta inserite le credenziali Skype relative all’account compromesso comincia ad inondare un numero di telefonia mobile obiettivo dell’attacco.

Immagine2

Ma abbiamo detto che un account Skype può essere utilizzato per condurre attacchi basati su malware su larga scala, nei mesi scorsi gli esperti dell’azienda di sicurezza Kaspersky Lab hanno individuato un malware che utilizza Skype come vettore per la diffusione dell’infezione. Il codice malevolo utilizzava la piattaforma Skype per inviare messaggi contenenti un link a un sito compromesso. Per ingannare le vittime, il malware invia messaggi che sollecitano l’utente a cliccare sul link in essi contenuto per vedere la loro immagine online.

Immagine3

L’ultima tipologia di attacco cui si faceva riferimento è il TDoS (telephonydenial of service).

Un attacco di TDoS consiste nell’ inondare una vittima con chiamate che ne causano la paralisi del servizio per l’impossibilità di gestirle. Molte aziende dipendono da servizi telefonici che, se attaccati, ne compromettono lo svolgimento delle normali attività, pensiamo a call center per servizi di pubblica utilità oppure i servizi di assistenza clienti.

Negli scorsi mesi negli Stati Uniti numerosi centralini per la gestione delle emergenze sono stati attaccati con questa tecnica al punto che il Department of Homeland Security (DHS) e l’FBI hanno lanciato un allarme affinché possano adottarsi le contromisure necessarie. Questo tipo di attacchi sono condotti principalmente per fini estorsivi. Di seguito le principali fasi in cui si articola un attacco TDoS:

  • Un individuo chiama un’azienda vittima fingendosi rappresentante di una società di recupero credito.
  • Il chiamante con tono autoritario chiede di parlare con un rappresentante dell’azienda circa un debito residuo pregresso di un dipendente, eventualmente anche non più in azienda.
  • Il chiamante richiede il pagamento del credito residuo del dipendente.  Di solito si richiede che il credito venga depositato su appositi conti e/o carte prepagate controllate da organizzazioni criminali.
  • Al rifiuto del pagamento l’attaccante inonda la vittima con un continuo flusso di chiamate per un periodo indeterminato che impedisce alla vittima di ricevere ed effettuare chiamate comportando l’impossibilità ad espletare un lavoro.

Lo strumento principale per condurre un attacco simile è proprio un’applicazione VoIP come Skype, meglio ancora se l’account utilizzato appartiene a qualcun altro. Sempre nell’underground criminale è possibile acquistare sistemi automatici basati su sim telefoniche che consentono di effettuare centinaia di chiamate simultanee per realizzare attacchi TDoS, a dimostrazione della grande richiesta per questa tipologia di attività.

Con questo post spero di aver risposto ad un amico che nei giorni scorsi, dopo aver subito il furto del proprio account Skype, mi ha detto: “Ma cosa vuoi se ne facciano del mio account?”

Facebook Comments

Previous articleScrivere in mobilità: 5 servizi gratuiti per creare documenti
Next articleUe invalida direttiva per la conservazione dei dati: “ingerenza nella vita privata cittadini”
Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security. La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.” E' membro dei gruppi di lavoro del portale “The Hacker News" e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste. E' membro del gruppo Threat Landscape Stakeholder Group dell'agenzia ENISA (European Union Agency for Network and Information Security). Ha pubblicato due libri "The Deep Dark Web" e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

LEAVE A REPLY

Please enter your comment!
Please enter your name here