ADSENSE
|
Il tema della password sicurezza digitale attacchi è più attuale che mai.
Le password, infatti, non vengono solamente “indovinate”, ma sempre più spesso vengono direttamente rubate.
Tra strumenti come gli infostealer, l’intelligenza artificiale (AI) e tecniche di phishing sempre più evolute, anche le combinazioni più complesse possono rivelarsi inutili se esposte o riutilizzate.
Qual è, dunque, la vera strategia di difesa nel panorama digitale odierno?
L’evoluzione del furto di credenziali: un mercato redditizio
Le credenziali di accesso hanno smesso di essere semplici “chiavi” per diventare una vera e propria merce di scambio in un’economia sommersa altamente strutturata.
Il mercato nero delle credenziali è estremamente florido.
Valore delle credenziali nel mercato nero
I prezzi per un account Facebook compromesso si aggirano intorno ai 45 dollari, mentre un account Gmail può valere tra i 60 e i 65 dollari.
Le informazioni relative alle carte di credito standard con CVV sono commercializzate tra i 10 e i 40 dollari.
Gli accessi verificati a banche online e a wallet di criptovalute con saldi elevati possono raggiungere prezzi che vanno dai 200 ai 1.200 dollari e oltre.
Ancora più lucrativo è il mercato degli Initial Access Brokers (IAB), dove l’accesso diretto a reti aziendali tramite VPN o RDP, che in passato aveva prezzi base medi di circa 2.700 dollari, ha visto le quotazioni salire fino a oltre 113.000 dollari per accessi amministrativi con privilegi elevati.
Dalla complessità delle password alla compromissione diretta
Per anni, la sicurezza delle password si è basata su regole semplici: lunghezza, presenza di simboli, numeri e maiuscole.
Queste indicazioni rimangono importanti, poiché una password complessa, se memorizzata correttamente come hash sicuro, è difficile da individuare.
Tecniche di attacco moderne
Anche se un sito web dovesse subire una violazione e le password fossero salvate come hash SHA-256, risalire alla password in chiaro sarebbe estremamente difficile per un attaccante.
Tuttavia, molte password comuni sono già note agli aggressori che utilizzano attacchi basati sul dizionario, confrontando gli hash delle password rubate con quelli di miliardi di password già conosciute.
Esistono poi gli attacchi brute-force, che cercano di indovinare le password provando tutte le combinazioni possibili.
La velocità con cui questi attacchi possono avere successo è aumentata notevolmente, specialmente con l’uso di GPU moderne.
Il problema più pressante è la compromissione diretta: gli infostealer non cercano di indovinare le credenziali, ma le estraggono direttamente da browser, sistemi già compromessi o sessioni attive.
L’abitudine di incollare dati in strumenti di intelligenza artificiale introduce ulteriori vettori di rischio difficilmente controllabili.
Entropia e realtà operativa: i limiti delle password complesse
Teoricamente, una password di 16 caratteri con un alfabeto completo (lettere maiuscole/minuscole, numeri, simboli) offre un’entropia elevata, rendendola quasi impossibile da violare con un attacco brute-force puro.
Questo modello, però, presuppone che la password non sia riutilizzata, non sia presente in database compromessi e non sia mai esposta in chiaro.
Statistiche e vulnerabilità reali
Secondo dati recenti, il 68% delle password reali è violabile in meno di 24 ore, e oltre il 60% viene decifrato in circa un’ora.
Più del 20% delle password da 15 caratteri cede in meno di un minuto con algoritmi ottimizzati.
Questi risultati derivano da attacchi combinati che sfruttano dizionari avanzati, modelli probabilistici (Markov chains) e AI password guessing, basato su pattern reali.
Una password come “Estate2026!”, pur rispettando i requisiti di complessità, può essere violata rapidamente perché contiene una parola da dizionario e un anno, seguendo uno schema comune.
Infostealer e credential stuffing: l’automazione del furto
Gli infostealer sono oggi uno dei principali vettori per la sottrazione di credenziali.
Malware-as-a-Service come LummaC2 o RedLine ingannano le vittime tramite campagne di phishing, inducendole ad aprire allegati malevoli o sfruttando vulnerabilità del browser.
Meccanismi di attacco e recupero dati
Questi malware eseguono operazioni di data harvesting, estraendo credenziali, cookie di sessione, token OAuth e wallet crypto dai browser.
I dati vengono poi trasmessi e venduti sul mercato nero, spesso sul Dark Web.
Un esempio di log di infostealer mostra chiaramente come vengano acquisiti URL, username, password, cookie e indirizzi IP, consentendo accessi diretti o attacchi di session hijacking.
Il credential stuffing è un’altra tecnica automatizzata che riutilizza coppie di credenziali già compromesse per tentare l’accesso su altri servizi.
Si basa sull’abitudine diffusa di usare la stessa password su più piattaforme.
Strumenti come Sentry MBA, OpenBullet e SilverBullet automatizzano il processo, usando proxy rotanti, user-agent realistici e l’esecuzione multi-thread per eludere i controlli di sicurezza.
Anche un tasso di successo minimo può compromettere migliaia di account.
Ingegneria sociale potenziata dall’ai: phishing e deepfake
Se il furto di credenziali è la base tecnica, l’ingegneria sociale potenziata dall’intelligenza artificiale rende gli attacchi realmente efficaci.
Il phishing non è più rudimentale; oggi si parla di Phishing-as-a-Service, con kit che integrano modelli di GenAI per generare comunicazioni contestualizzate e prive di errori.
L’impatto di deepfake e vishing
L’integrazione di deepfake e vishing (voice phishing) permette attacchi di impersonificazione estremamente sofisticati, clonando voci e generando video realistici.
Questo porta a scenari aziendali ad alto impatto, come richieste di bonifici urgenti o reset di credenziali.
Queste tecniche sfruttano la fiducia e il contesto, rendendo difficile l’intercettazione da parte delle difese tradizionali.
Strategie di difesa: dalla password alla verifica continua
Di fronte a questi modelli di attacco evoluti, le contromisure non possono limitarsi a rafforzare le password.
Serve un approccio multilivello che agisca su identità, comportamento e gestione dei dati.
Soluzioni avanzate per la sicurezza
1.
Riduzione della dipendenza dalle credenziali statiche: Adottare soluzioni passwordless come le passkey basate su standard FIDO2 elimina il problema del furto.
Dove non possibile, l’uso di password uniche generate tramite password manager è fondamentale. 2.
Rafforzamento dell’autenticazione: L’attivazione della multi-factor authentication (MFA) è indispensabile, implementata con soluzioni resistenti al phishing (token hardware, notifiche push contestuali). 3.
Modelli di sicurezza Zero Trust: In ambito aziendale, ogni accesso deve essere continuamente verificato, considerando contesto, dispositivo, posizione e comportamento dell’utente.
L’integrazione tra EDR (Endpoint Detection and Response) e ITDR (Identity Threat Detection and Response) aiuta a individuare anomalie. 4.
Controllo del browser e degli strumenti AI: Le organizzazioni devono monitorare e limitare il trasferimento di dati sensibili verso applicazioni esterne o account personali. 5.
Formazione degli utenti aggiornata: Non basta riconoscere email sospette; è necessario sviluppare consapevolezza su scenari complessi come richieste credibili via chat, voce o video, e sull’uso corretto degli strumenti AI.