8BitSecurity

il blog in italiano!

News, approfondimenti e knowledge sharing per una Cybersecurity a tutto bit

,

I migliori Tool di Credential Leak per le analisi SOC

Copertina articolo CredLeaked

Ti presentiamo gli strumenti per analizzare credenziali trapelate, suddividendoli in tre livelli di profondità: il metodo veloce “Have I Been Pwned”, altri strumenti per un’analisi più approfondita, e l’analisi OSINT che coinvolge canali come Telegram, forum underground e darkweb.

Lorenzo Langeli
4–6 minuti

di lettura

Che tu sia un esperto di cybersecurity o un semplice utente che vuole mantenere al sicuro i propri dati, se sei arrivato qui è probabile che in questo momento ti stia chiedendo come tu possa scongiurare il pericolo che le tue credenziali o quelle della tua organizzazione siano state rubate e condivise nel darkweb.

Come potrai immaginare, le tecniche sono molteplici e classificabili in diversi livelli di difficoltà e preparazione necessaria.

Per questo motivo, suddivideremo questo articolo in tre gradi di “approfondimento”, così definiti:

  • Metodo Quick-and-dirty: un metodo di verifica elementare e accessibile a chiunque.
  • Must-known tools: tools professionali utili ad analisi con un livello superiore di approfondimento.
  • Analisi OSINT: esplorazione di fonti aperte e del Dark Web per ricercare le informazioni di interesse.

Ultima postilla prima di iniziare: considerando che entriamo nel merito, potrebbe esserti utile una piccola introduzione sull’arte dell’OSINT, con la sua definizione, alcune tecniche di applicazione e i principali strumenti da conoscere.

Metodo Quick-and-dirty

Come suggerisce il nome, si tratta di una verifica tanto semplice quanto efficace: tutto ciò che devi fare è navigare al sito Have I Been Pwned.

HaveIBeenPwned è un servizio online che permette a qualsiasi utente di verificare se le loro informazioni personali, come indirizzi email o password, sono state coinvolte in data breach, attraverso la scansione e raccolta dati dai principali forum e marketplace utilizzati dai criminali informatici.

Semplicemente inserendo un indirizzo email nell’apposita barra di ricerca, potrete verificare se sia mai stato coinvolto in data breach e, eventualmente, quando ed in quali.

Infine, oltre alla semplice ricerca, HaveIBeenPwned offre anche il servizio “Notify me”, che permette, previa certificazione di possesso di un dominio, di essere notificati ogni qual volta venga individuato in una collection un nuovo utente appartenente a quel dominio.

Must-known tools

Sei un professionista del settore e sei alla ricerca dei migliori strumenti di analisi di credenziali leakate disponibili? Allora le due piattaforme che ti stiamo per presentare dovranno necessariamente fare parte delle risorse a tua disposizione.

Intelligence X

Uno dei portali più completi del settore è Intelligence X, piattaforma che si occupa di raccogliere dump e leakage, similmente ad HaveIBeenPwned, per fornire un servizio di ricerca e verifica di credenziali proprie e aziendali.

Anche nella sua versione gratuita, il portale permette di ricercare credenziali e verificarne la presenza all’interno di collection condivise nei mercati underground/darkweb. È inoltre possibile effettuare l’upgrade ad un piano a pagamento per visualizzare i dump in chiaro nella loro completezza.

DeHashed

Altrettanto valido anche se meno completo rispetto al rivale, DeHashed è un portale molto simile, che puoi affiancare ai precedenti per un’indagine il più completa possibile.

Anche in questo caso, con un account gratuito (a differenza di IntelligenceX è necessaria la registrazione) sarà possibile effettuare ricerche su specifiche utenze per ottenere in output eventuali dump in cui sono state coinvolte.

Analisi OSINT

Siamo arrivati al terzo ed ultimo livello di questo articolo: se quanto abbiamo visto finora non è sufficiente per le tue attività, sarà necessario passare ad un approccio più proattivo.

I dump e i leakage di credenziali vengono condivisi tra criminali informatici attraverso tre canali di diffusione:

  • Telegram
  • Forum underground
  • Darkweb

Come puoi immaginare, è dunque arrivato il momento di introdursi in questi canali ed accedere in prima persona alle informazioni che cerchi, direttamente alla fonte.

Telegram

Se pensavi che Telegram fosse un semplice social network, devi sapere che in realtà è divenuto ormai da qualche anno il punto di riferimento del mercato criminale, come riportava il Financial Times già nel 2021, per la vendita di droga, armi, carte clonate e, dulcis in fundo, credenziali esfiltrate.

Grazie alla sua versalità e alla garanzia di anonimato, è uno strumento tanto apprezzato dai criminali quanto, allo stesso tempo, il più semplice da scandagliare per ricercatori e analisti di sicurezza, poiché ben più accessibile del darkweb.

Abbiamo dedicato un articolo specifico alla ricerca di credenziali rubate su Telegram, che puoi trovare QUI.
A quelli presenti già nel nostro articolo, aggiungiamo una lista bonus di canali Telegram da cui iniziare le tue attività di monitoraggio:

Forum underground e Darkweb

Da questo punto in poi, prima di procedere ti consigliamo di prepararti adeguatamente. Navigare direttamente dal proprio dispositivo e indirizzo IP siti di questa natura, può mettere a rischio la tua sicurezza e quella della tua organizzazione. Ti raccomandiamo quindi di procedere all’interno di un ambiente virtuale e con le opportune precauzione: se non sei sicuro di come muoverti, ti consigliamo di leggere la nostra guida prima di continuare con le attività descritte in questo articolo.

L’obbiettivo è sempre lo stesso, la differenza è che le informazioni che ti interessano dovrai raccoglierle in prima persona attraverso forum di hacking e marketplace, che spesso spaziano da tool crackati a tutorial di hacking, truffe e condivisione di dataleak.

Come per Telegram, anche per il Dark Web abbiamo dedicato un articolo specifico per questa attività sui forum underground, che puoi trovare QUI.

Ovviamente, a noi interessa l’ultimo punto. Anche in questo caso, non sono richieste particolari abilità tecniche: ciò che fa la differenza in questo campo è l’abilità di sapere come e dove trovare le informazioni che ti servono, e per fare ciò le tue armi migliori saranno la pazienza, la curiosità e l’esperienza.

Per quanto riguarda la differenza tra forum underground e darkweb, in realtà principalmente cambia solo il mezzo di accesso, poiché nel secondo caso dovrete armarvi di Tor. Oltre a ciò, in entrambi i casi si tratta di forum o di marketplace strutturati spesso in maniera molto simile e in cui i pagamenti avvengono mediante criptovalute.

In conclusione, se sei curioso di capire come funzionano questi ambienti “nascosti” ti rimandiamo al nostro viaggio all’interno dei forum di compravendita.

Ti è piaciuto l’articolo? Seguici su Linkedin per sostenerci!

Offrici un Caffè e Sostieni il Progetto!

8BitSecurity è un progetto Indipendente e Gratuito. Sostienici con un piccolo contributo!

DONAZIONE
, , , , , ,

consigliati