Discussione Il mondo nascosto dietro ad una combinazione email:pass + PoC

Reb0rned

Utente Electrum
11 Marzo 2021
131
31
56
106

INTRODUZIONE

Ciao a tutti, oggi voglio parlarvi di qualcosa di davvero affascinante (e un po’ inquietante) che riguarda il mondo delle combinazioni email:password, meglio conosciute come combolist. Questo argomento, che di solito troviamo su forum come cracked.io e patched.to, è alla base di molte attività di cracking online. Voglio raccontarvi come funzionano questi sistemi e darvi anche un esempio pratico con uno script in Go che ho trovato e adattato.

Cos’è una combolist e come viene usata?


Una combolist è, in parole semplici, un elenco di credenziali (email e password) ottenute da database compromessi durante attacchi informatici. Questi file vengono condivisi e scambiati in forum dedicati e contengono migliaia, se non milioni, di accoppiate pronte all'uso. I cracker usano poi queste liste per effettuare attacchi chiamati credential stuffing, in cui provano ogni combinazione su un servizio (es. Netflix, Spotify, Instagram) sperando che qualcuno abbia riutilizzato la stessa password.

Come fanno a testare milioni di account?


Ovviamente nessuno si mette manualmente a inserire email e password su ogni sito. I cracker usano tool automatizzati come Silver Bullet, OpenBullet o Storm. Questi strumenti permettono di caricare una combolist e una configurazione (config) specifica per il servizio target. Una volta avviato il processo, il software prova le credenziali a velocità impressionanti, sfruttando proxy per evitare di essere bloccato.

I proxy sono essenziali: senza di essi, il servizio potrebbe individuare l’attacco e bloccare l’IP del cracker. Per questo motivo, nei forum vengono scambiati anche elenchi di proxy validi (HTTP/SOCKS), spesso testati con script dedicati.

Un esempio pratico con uno script in Go

Per farvi capire meglio, ho preso uno script in Golang che utilizza una lista di credenziali e proxy per simulare un attacco base. Ecco come funziona:

1. Si caricano le credenziali da un file (es. creds.txt).


2. Si caricano i proxy da un altro file.


3. Si validano i proxy per verificare che funzionino.


4. Si utilizzano le credenziali e i proxy per tentare il login su un servizio, in questo caso Instagram

Per creare questo script mi sono basato su una config per Open Bullet2 vecchia di 3 anni e non so se funziona ancora (mi sono solo limitato a scopiazzare le richieste http dalla configurazione allo script.

Lo script si trova su pastebin perché il WAF di inforge lo blocca.

I forum come cracked.io e patched.to


Se fate un giro su forum come cracked.io o patched.to, troverete migliaia di thread dedicati allo scambio di combolist, configurazioni per tool come OpenBullet e proxy gratuiti. Questi forum funzionano come vere e proprie piazze di scambio per chi vuole entrare nel mondo del cracking o semplicemente trovare un account "premium" gratis.

Molti utenti condividono script come quello sopra o tool preconfigurati, con guide dettagliate su come utilizzarli. Ovviamente, partecipare a queste attività è illegale e va contro le norme di qualsiasi servizio digitale.

Perché parlarne?​


Anche se questo argomento può sembrare un tutorial sul cracking (non lo è!), il mio obiettivo è aumentare la consapevolezza. Sapere che esistono questi strumenti e queste tecniche può aiutarci a proteggere i nostri account:

1. Mai riutilizzare le stesse password su più siti.


2. Usare un password manager per creare password sicure.


3. Abilitare l’autenticazione a due fattori (2FA).



Conclusione


Il mondo delle combinazioni email:pass è una realtà nascosta che vive ai margini di Internet, alimentata da tool sofisticati e forum molto attivi. Anche se è affascinante capire come funzionano queste tecniche, dobbiamo ricordarci che usarle è illegale e danneggia sia le persone che le aziende.

Se avete domande o volete approfondire l’argomento (senza infrangere la legge!), scrivetemi qui sotto.
Condividere informazioni in modo etico è il primo passo per rendere il web un posto più sicuro.