I servizi di video in streaming e audio stanno cambiando radicalmente il settore dell’intrattenimento. Servizi come Netflix, Hulu, Disney+, Spotify e Apple Music hanno rivoluzionato il modo in cui accediamo e consumiamo film, spettacoli televisivi e musica. Questo massiccio cambiamento non è passato inosservato ai cybercriminali, che hanno trovato il modo di sottrarre agli utenti credenziali valide per lo streaming e venderle a prezzi estremamente scontati. Quando ciò accade, spesso i titolari degli account non sanno nemmeno di condividerli con malintenzionati o utenti non autorizzati.
I ricercatori Proofpoint hanno esaminato più da vicino questo problema per capire cosa sta accadendo e come proteggere i legittimi account dei clienti.
Come vengono rubate le credenziali di streaming
Sono tre i modi in cui i cybercriminali possono rubare valide credenziali per i servizi di streaming: malware, credential phishing e credenziali sottratte in precedenza combinate con il riutilizzo delle password.
Malware
Il malware comprende qualsiasi tipo di codice dannoso che viene tipicamente distribuito tramite email o siti web e poi installato su sistemi e server con l’obiettivo di interrompere, disabilitare o prendere il controllo di questi dispositivi. Per evitare il rilevamento, gli aggressori nascondono il malware nei file, lo mascherano in modo che sembri un’applicazione legittima o utilizzano altre tecniche di offuscamento per aggirare i controlli di sicurezza e il rilevamento degli utenti.
Alcuni tipi di malware sono progettati per cercare e rubare informazioni relative agli account. Questi keylogger e “information stealer”, tra gli altri, esistono da anni e vengono regolarmente utilizzati per rubare nomi utente, password e informazioni sulle carte di credito. Ciò significa che se un sistema o dispositivo viene infettato, gli aggressori sono in grado di rubare le credenziali insieme ad altre informazioni preziose.
Credential Phishing
Vediamo spesso gli autori delle minacce lanciare attacchi di phishing per accedere alle credenziali legate a questi servizi. Il credential phishing di solito inizia con un’email che segnala un problema all’account e richiede attenzione immediata, come difficoltà di pagamento o un aggiornamento dell’indirizzo di fatturazione, e chiede di cliccare su un link per entrare nell’account e correggerlo.
Cliccando, si viene portati su un sito molto simile alla home page del sito ufficiale, spesso una copia quasi perfetta del sito legittimo, il che può rendere difficile distinguerli.
Nella Figura 1 un sito di credential phishing per Disney+.
Nella Figura 2 un sito di credential phishing per Spotify.
Nella Figura 3 un sito di credential phishing per Netflix.
Una volta arrivati sulla falsa home page, viene richiesto di inserire nome utente e password. A quel punto gli aggressori si sono impossessati delle informazioni e possono utilizzarle per accedere all’account, proprio come l’utente.
I siti non cercheranno solo di rubare le credenziali, ma attiveranno anche pagine di inserimento dei dati di pagamento per cercare di rubare anche i dettagli della carta di credito.
Nella Figura 4 una falsa pagina del sito Spotify per sottrarre dati relativi alla carta di credito.
Nella Figura 5 una falsa pagina del sito di Netflix per sottrarre dati relativi alla carta di credito.
Come si può vedere, la qualità di questi siti è incredibilmente dettagliata e riflette da vicino i siti originali di streaming. Nel caso di Netflix include persino un lucchetto e le parole “secure server” per fare sì che la vittima si senta ancor più sicura e tranquilla.
Credenziali sottratte in precedenza/Riutilizzo della password
Gli hacker possono anche ottenere accesso agli account di streaming grazie a una combinazione di credenziali precedentemente rubate e riutilizzo della password, una pratica talvolta definita “credential stuffing”. In questi casi, le informazioni relative all’account non vengono rubate direttamente, ma i cybercriminali prendono nomi utente e password precedentemente rubati altrove e li provano sui servizi di streaming. Se qualcuno a cui sono state rubate le credenziali utilizza lo stesso nome utente e password, gli aggressori potranno accedere a quell’account.
Cosa succede quando vengono sottratte credenziali di streaming
Gli aggressori hanno riconosciuto l’enorme richiesta di accesso ai contenuti in streaming senza dover pagare l’intero costo di un abbonamento, perciò esiste un mercato molto maturo e ricettivo legato alle credenziali di streaming rubate.
Quando gli hacker ottengono le credenziali di streaming, le vendono ad altri che le useranno per accedere a questi servizi, e molto probabilmente l’utente non se ne accorgerà mai.
Nella Figura 6 il sito di uno shop online che vende credenziali di streaming Disney+ rubate.
Nella Figura 7 il processo di checkout dello stesso negozio online.
Vale la pena notare che si tratta di un processo di vendita online relativamente sofisticato. Ci sono diverse opzioni di vendita, il venditore offre una garanzia e anche informazioni di contatto in caso di problemi.
Le credenziali rubate vengono vendute a una frazione del prezzo di un abbonamento legittimo, con la raccomandazione che l’acquirente non può modificare il nome utente o la password dell’account in quanto ciò annullerebbe la garanzia. Ancor più importante, la modifica delle credenziali di accesso avviserebbe anche il vero titolare dell’account che ne ha perso il controllo, e probabilmente avvierebbe un processo di recupero che bloccherebbe l’utente non autorizzato. Gli aggressori che abusano delle credenziali fanno assolutamente tutto il possibile per evitare di essere scoperti perché ciò metterebbe fine alla loro capacità di utilizzare le credenziali rubate.
Proteggere gli account di streaming
La maggior parte dei principali servizi di streaming offre tra le impostazioni anche opzioni per gestire i dispositivi collegati con l’account. Per confermare immediatamente se ci sono utenti non autorizzati, la raccomandazione è di accedere alle impostazioni per esaminare le recenti attività di streaming associate.
Ad esempio, nella Figura 8 si possono vedere i controlli di attività per Netflix.
Da questa schermata, è possibile visualizzare l’attività precedente e forzare tutti i dispositivi associati al proprio account ad uscire. È importante notare che, se si nota un’attività non autorizzata è necessario cambiare la password con una nuova più forte prima di uscire da questi dispositivi, altrimenti gli aggressori potranno continuare a utilizzare le stesse credenziali per accedere all’account.
Il modo migliore per proteggere in modo proattivo le proprie credenziali di streaming è quello di mantenere aggiornati il sistema operativo, i browser e i plug-in e non cliccare mai sui link inseriti nelle email o negli allegati per visitare un sito di streaming: è sempre meglio digitare un indirizzo web direttamente nel browser. È inoltre importante utilizzare sempre una password unica e forte per ogni sito di streaming, idealmente in combinazione con un password manager.
Inoltre, molti servizi di streaming forniscono un’opzione che notifica ogni volta che un nuovo dispositivo si connette all’account. La selezione di questa opzione permetterà di verificare che ogni dispositivo sia autorizzato e di intervenire in caso contrario.
Conclusioni
I servizi di streaming sono una preziosa comodità moderna, tanto che anche i cybercriminali sono arrivati a riconoscerne il valore. Il furto di credenziali e il piggybacking dell’account sono un problema crescente, ma fortunatamente esistono misure da adottare immediatamente per prevenirli e risolverli.
A cura di Proofpoint
