I consigli di Cisco Talos per difendersi dai trucchi degli hacker

I consigli di Cisco Talos per difendersi dai trucchi degli hacker

Gli hacker non “forzano” più i sistemi: entrano dalla porta principale, usando le nostre credenziali

Il 75% degli attacchi di phishing è partito da account di posta elettronica compromessi, mentre oltre il 40% degli incidenti ha riguardato problemi legati all’autenticazione a più fattori (MFA), dovuti a configurazioni errate o a tentativi di aggiramento.  Secondo quanto evidenziato dal report relativo al secondo trimestre 2025 di Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, l’obiettivo più ambito non sono più soltanto i dati sensibili, ma soprattutto le credenziali di accesso: username e password, una volta rubati, diventano il lasciapassare che consente ai criminali informatici di entrare indisturbati nei sistemi aziendali, di muoversi senza destare sospetti e raggiungere informazioni riservate o risorse preziose. Ma non è tutto…

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Un fenomeno in forte crescita

Secondo l’ultimo report annuale di Cisco Talos, gli attacchi basati sull’identità hanno rappresentato il 60% dei casi di Incident Response gestiti dal team, mentre in quasi tre quarti degli attacchi ransomware i criminali informatici hanno sfruttato account validi per ottenere l’accesso iniziale. Questo conferma come le password restino ancora oggi l’anello più debole della catena di sicurezza.

Il mercato nero delle password

Una volta rubate, le credenziali finiscono spesso in vendita sul dark web, creando un vero e proprio mercato parallelo. Account “normali” hanno un prezzo contenuto, mentre quelli con privilegi elevati – come amministratori di rete o responsabili finanziari – possono arrivare a costare centinaia di dollari. Alcuni gruppi criminali si occupano esclusivamente della raccolta e della rivendita di questi dati, mentre altri li acquistano per condurre campagne ransomware mirate, attacchi di spionaggio o frodi economiche.

Leggi anche:  Il Porto di Barcellona potenzia sicurezza ed efficienza tecnologica con l'aiuto di Genetec

Perché è così semplice

Tre fattori spiegano la diffusione degli attacchi basati sulle credenziali:

  • Attacchi dall’interno – Con credenziali autentiche, i cybercriminali possono passare inosservati anche per lunghi periodi.
  • Mercato in crescita – Password e account rubati si scambiano facilmente online, riducendo costi e rischi per gli hacker.
  • Nuove abitudini di lavoro – Lo smart working, l’uso di dispositivi personali e dei servizi cloud moltiplicano i punti di accesso da proteggere.

Le tecniche più comuni

Gli hacker dispongono di numerosi metodi collaudati:

  • Phishing: e-mail ingannevoli che imitano portali reali, come Office 365, con l’obiettivo di indurre l’utente a inserire le proprie credenziali.
  • Keylogger: software che registrano tutto ciò che viene digitato sulla tastiera, rubando username e password.
  • QR code malevoli: un fenomeno in crescita che sfrutta la fiducia verso i codici QR; basta una semplice scansione per essere reindirizzati a siti truffa.
  • Attacchi di forza bruta: tentativi automatizzati di indovinare password deboli o riutilizzate dagli utenti.
  • Account dimenticati: ex dipendenti o collaboratori con accessi ancora attivi, che diventano potenziali porte d’ingresso per gli attaccanti.
  • Infostealer: malware progettati per raccogliere informazioni sensibili, incluse le credenziali salvate nei browser.

Il ruolo degli utenti

Molti di questi attacchi sfruttano direttamente le persone. Il phishing, ad esempio, resta uno dei metodi più diffusi al mondo: spesso basta un semplice clic su un link malevolo per consegnare inconsapevolmente le proprie credenziali a un criminale. Inoltre, gli hacker fanno ricorso anche all’ingegneria sociale, contattando direttamente le vittime e convincendole, attraverso storie costruite ad arte, a compiere azioni pericolose: modificare impostazioni, condividere password o addirittura trasferire denaro.

Come difendersi: i consigli degli esperti Cisco

  • Attivare l’autenticazione a più fattori (MFA): anche se la password viene compromessa, serve un secondo livello di verifica.
  • Non salvare le password nel browser: utilizza un gestore di password sicuro per proteggerle.
  • Aggiornare regolarmente sistemi e applicazioni: gli aggiornamenti correggono vulnerabilità sfruttabili dagli hacker.
  • Eliminare gli account inutilizzati: ogni accesso dimenticato rappresenta una potenziale porta d’ingresso.
  • Limitare i tentativi di accesso: bloccare ripetuti tentativi di password errata riduce il rischio di attacchi di forza bruta.
  • Formazione degli utenti: saper riconoscere una mail sospetta può fare la differenza nella prevenzione degli attacchi.
  • Adottare un approccio “zero trust”: verificare ogni accesso, da qualsiasi dispositivo e in ogni momento.
Leggi anche:  Nel 2024 gli account validi sono stati uno dei principali vettori di attacco iniziale

Ogni mese, la piattaforma Cisco Duo gestisce oltre 1,5 miliardi di richieste di autenticazione multifattore (MFA). Nonostante ciò, secondo Oort — azienda acquisita da Cisco nel 2023 — il 40% delle imprese non utilizza l’MFA o si affida a metodi poco sicuri, come gli SMS. Questa mancanza di protezione rappresenta una vera e propria autostrada d’accesso per i cybercriminali. Per difendersi efficacemente dagli attacchi, è necessario cambiare approccio: la sicurezza deve partire dall’identità e proteggere le credenziali di accesso.