Nel mirino le nostre credenziali di accesso a sistemi e servizi, ma formazione e tecnologia possono salvarci
Il cybercrime si evolve e mira dritto all’identità digitale. Sotto attacco, la nostra rappresentazione nei servizi online, e con essa i meccanismi tecnici da cui dipendiamo per realizzarla, come il nome utente e la password. Gli hacker preferiscono il log-in all’hack-in: gli attacchi si concentrano sull’uso fraudolento delle credenziali legittime, una strategia più semplice ed efficace rispetto alle complesse attività di intrusione, che richiedono più risorse e aumentano il rischio di essere intercettati dai sistemi di difesa.
Questo cambiamento è strettamente legato alla diffusione degli InfoStealer, malware specializzati nel furto di dati, che alimentano un fiorente mercato nero di credenziali nel dark web. Il trend è in crescita costante. Secondo l’IBM X-Force Threat Intelligence Index 2025, nel 2023 gli InfoStealer hanno segnato un’impennata del 266%. E la tendenza non si è fermata: nei mesi successivi, le credenziali sottratte tramite questi malware e messe in vendita sul dark web sono aumentate di un ulteriore 12%.
Il log-in, inoltre, seppur con scopi malevoli, viene quasi sempre ignorato dai sistemi e dai processi di protezione dei sistemi informativi. La conseguenza più immediata è che questo fenomeno raramente scatena una revisione dei sistemi di protezione, sulla scorta della scorciatoia mentale del “se funziona, non ripararlo”. Così, l’accesso anomalo viene spesso sottostimato, con il rischio che continui a esserlo per lungo tempo. La diffusione massiccia di malware InfoStealer, insieme alla vendita di credenziali, ai dump di dati e all’uso dell’AI generativa, non può che alimentare la crescita in numero e complessità degli attacchi.
La soluzione, in realtà, è più accessibile di quanto si creda: basterebbe adottare alcune best practice ormai consolidate – come il rafforzamento delle credenziali, l’applicazione del principio del privilegio minimo e l’implementazione dell’autenticazione multifattoriale resistente al phishing – per ridurre drasticamente l’efficacia dei principali vettori di attacco. Passo fondamentale è la veloce sostituzione delle soluzioni di autenticazione a più fattori non resistenti al phishing, come le One-Time Password (OTP) via SMS.
Pur essendo compatibili con cellulari meno recenti, e quindi compatibili anche con l’utenza meno evoluta tecnologicamente, il rischio che le OTP inviate via SMS vengano catturate e riutilizzate in maniera fraudolenta è troppo elevato per essere ignorato. Attenzione all’aumento di inserzioni malevole sui social network, con annunci che, usando il marchio e l’identità visiva di note aziende bancarie o criptovalute emergenti, inducono a investire somme di denaro su piattaforme false. Ma attenzione anche ai canali, un tempo percepiti come sicuri, come per esempio phishing e malware veicolati attraverso messaggi di posta elettronica certificata.
Per la protezione dei dati aziendali, è indubbio il ruolo della formazione, anche se da sola non basta. Alcuni attacchi hanno successo anche se l’utente opera con cautela e prevenzione. Servono delle contromisure di natura tecnica in grado di intervenire quando la minaccia riesce a scavalcare le protezioni della vittima. Sul mercato si osserva una positiva convergenza di soluzioni verso l’adozione di feed di Cyber Threat Intelligence un tempo appannaggio delle soluzioni SIEM (Security Information and Event Management) e dei dispositivi di rete, che sono ora disponibili anche per molte altre tecnologie di sicurezza, come le innovative soluzioni di Identity Threat Detection and Response (ITDR).
Qui troviamo un connubio virtuoso nel quale strumenti e processi di sicurezza sono orientati a identificare, bloccare e rispondere agli attacchi alle identità. Le soluzioni ITDR stanno suscitando un forte interesse e si prevede una crescita significativa, alimentata dall’aumento delle minacce a identità e accessi. Gli attacchi diventano sempre più veloci, anche a causa dei meccanismi di automazione usati dagli attaccanti. La prevenzione, l’individuazione e la risposta agli attacchi devono pertanto poggiarsi su strumenti che consentano una pari rapidità di azione.
Pier Luigi Rotondo comitato direttivo CLUSIT
