Ciao a tutti, Pat Reeves qui, di nuovo su botsec.net. Siamo a marzo 2026, e se siete come me, probabilmente sentite ancora un po’ gli effetti dell’audacia pura di alcune attività di botnet che abbiamo osservato l’anno scorso. Mentre i titoli si concentravano sugli attacchi DDoS e l’exfiltrazione dei dati, altre cose sono emerse silenziosamente, qualcosa che, onestamente, mi impedisce di dormire la notte: le tattiche sempre più sofisticate che i bot utilizzano per aggirare i metodi di autenticazione tradizionali, in particolare con l’ascesa delle passkey.
Ci è stato detto che le passkey sono il futuro, vero? Resistenti al phishing, crittograficamente sicure, collegate a dispositivi. E per buone ragioni, rispondono a molti vecchi punti critici. Ma cosa succede quando il meccanismo stesso progettato per proteggerci diventa un vettore di compromissione, non per un difetto nella crittografia stessa, ma nel modo in cui è implementato e, soprattutto, nel modo in cui i bot imparano a manipolare l’elemento umano attorno a questo?
Il paradosso delle passkey: una nuova frontiera per i bot
Pensateci. La promessa delle passkey è che eliminano i segreti condivisi (password) e richiedono un’interazione dell’utente su un dispositivo di fiducia. Ottimo! Niente più credential stuffing, niente più spraying, niente più attacchi di dizionario semplici. Ma i bot, questi piccoli cuori digitali persistenti, non si arrendono facilmente. Si adattano. E quello che ho osservato, in particolare nei tentativi di takeover di account (ATO) su piattaforme che hanno completamente adottato le passkey, è un’inversione verso l’ingegneria sociale su larga scala, armata dall’automazione.
La mia recente esperienza con un cliente, una piattaforma e-commerce di medie dimensioni che ha investito pesantemente nelle passkey la scorsa estate, mi ha davvero aperto gli occhi. Hanno visto un calo massiccio degli attacchi basati su credenziali tradizionali, il che era fantastico. Ma poi, circa tre mesi fa, hanno iniziato a notare un aumento dei tentativi di “accesso fallito” che erano… diversi. Non erano fallimenti di password; si trattava di tentativi di avviare la registrazione di passkey o di recupero da dispositivi non riconosciuti, spesso seguiti da una moltitudine di richieste di assistenza da parte di utenti legittimi che sostenevano che i loro account erano “hackerati” nonostante l’attivazione delle passkey.
Quello che abbiamo scoperto era un attacco in più fasi. I bot non cercavano di indovinare le passkey; cercavano di ingannare gli utenti generando o approvando nuove passkey su dispositivi controllati dagli attaccanti, o costringendoli a reimpostare quelle esistenti. Questa è una variante della fatica MFA “approva questa connessione”, ma con scommesse più alte poiché una passkey compromessa significa un controllo totale dell’account.
I dirottamenti di passkey guidati dai bot: come funziona
Decomponiamo il nuovo manuale dei bot per la compromissione delle passkey. Non si tratta di bruteforcing. Si tratta di ingegneria sociale sofisticata su larga scala, amplificata dall’automazione.
- Riconoscimento e Spear-Phishing leggero: I bot raccolgono dati pubblici, social media e anche dump del dark web per recuperare indirizzi email e numeri di telefono. Incrociavano quindi questi dati con le piattaforme target. L’obiettivo non è ottenere una password, ma identificare utenti attivi.
- L’esca del “Nuovo Dispositivo”: Un bot, che spesso imita un browser legittimo o un’app mobile, tenta di avviare una connessione o una registrazione di passkey per un utente noto sulla piattaforma target. Poiché l’utente non ha una passkey registrata su questo specifico dispositivo (l’ambiente simulato del bot), la piattaforma spesso richiede una metodologia di verifica alternativa o di “aggiungere una nuova passkey”.
- Ingegneria Sociale Automatica (ASE): È qui che avviene la magia (o meglio, la minaccia). Il bot, avendo attivato una notifica di sistema legittima (email, SMS, notifica push dell’app stessa), segue immediatamente con un tentativo di phishing mirato. Non è un’email generica “reimposta la tua password”. È altamente contestuale.
Immaginate questo scenario:
- Ricevete una notifica push legittima dalla vostra app bancaria: “Nuova tentativo di registrazione di passkey rilevata da un dispositivo sconosciuto. Se sei stato tu, approva. Altrimenti, clicca qui per proteggere il tuo account.”
- Allo stesso tempo, ricevete un’email meticolosamente redatta, apparentemente dal team di sicurezza della vostra banca, con un oggetto del tipo: “Urgente: Registrazione non autorizzata di passkey rilevata – Azione richiesta.”
- Il contenuto dell’email è personalizzato, magari facendo riferimento all’ora esatta del tentativo di registrazione. Ti guida verso una pagina di phishing che assomiglia identicamente al portale di sicurezza della tua banca.
- Su questa pagina di phishing, ti viene chiesto di “verificare la tua identità” inserendo la tua vecchia password (se la banca la supporta ancora per il recupero), oppure, più insidiosamente, di “revocare passkey non autorizzate”, il che ti spinge in realtà a *registrare una nuova passkey* sul dispositivo dell’attaccante, travestito da misura di sicurezza.
La chiave qui è il *momento* e il *contesto*. I bot coordinano queste azioni su larga scala, prendendo di mira migliaia di utenti simultaneamente. L’utente, vedendo una notifica legittima dell’app e un’email molto convincente e tempestiva, è molto più propenso a cadere nella trappola rispetto a un phishing generico.
Strategie di difesa pratiche contro l’abuso delle passkey guidato dai bot
Quindi, cosa possiamo fare? Non possiamo abbandonare le passkey; rappresentano comunque un grande passo avanti. Ma dobbiamo essere più astuti nel modo in cui le implementiamo e le proteggiamo. Ecco alcuni punti che ho consigliato ai miei clienti, con esempi pratici.
1. Rafforzate il vostro flusso di registrazione di “Nuova Passkey”
Questa è la vulnerabilità più critica. Se un attaccante può ingannare un utente a registrare una nuova passkey sul proprio dispositivo, è finita. Hai bisogno di più livelli di verifica qui, oltre all’invito iniziale di passkey.
- Fattore Secondario Obbligatorio per Nuove Registrazioni: Anche se un utente è già connesso, è fondamentale richiedere un’ulteriore verifica, fuori banda (come un codice unico inviato a un numero di telefono o a un’email *pre-registrati*, non quello fornito durante il tentativo di registrazione) per *qualsiasi* nuova registrazione o sostituzione di passkey.
- Attestazione del Dispositivo (dove possibile): Sebbene non infallibile, l’inserimento di verifiche di attestazione del dispositivo durante la registrazione delle passkey può aiutare a filtrare macchine virtuali o emulatori evidenti che i bot potrebbero utilizzare. Non si tratta di bloccare utenti legittimi, ma di aggiungere attrito per gli ambienti degli attaccanti noti.
- Limitazione di Tasso e Rilevamento di Anomalie: Questa è una difesa classica contro i bot, ma si applica ancora di più qui. Limitare aggressivamente il tasso di tentativi di registrazione di passkey provenienti da indirizzi IP unici o intervalli di indirizzi IP, unito a un rilevamento di anomalie comportamentali (ad esempio, un utente che cerca improvvisamente di registrare 5 nuove passkey in un’ora da posizioni geografiche diverse), può segnalare un’attività sospetta.
// Esempio: Pseudocodice per un buon flusso di registrazione di una nuova passkey
function registerNewPasskey(userId, webauthnCredential) {
// 1. Verifica la sessione esistente e la forza dell'autenticazione
if (!isAuthenticatedStrongly(userId)) {
// Forzare la ri-autenticazione o una MFA aggiuntiva
initiateMFAChallenge(userId, "new_passkey_registration");
return; // Attendere la fine della MFA
}
// 2. Eseguire la validazione dell'attestazione FIDO2
if (!validateWebAuthnAttestation(webauthnCredential)) {
logSecurityAlert(userId, "Attestazione WebAuthn non valida durante la registrazione di una nuova passkey");
return;
}
// 3. Opzionale: Verifica dell'impronta del dispositivo / attestazione (lato server)
if (isSuspiciousDeviceFingerprint(request.headers['User-Agent'], request.ip)) {
logSecurityAlert(userId, "Impronta del dispositivo sospetta per la registrazione di una nuova passkey");
initiateMFAChallenge(userId, "suspicious_device_new_passkey");
return;
}
// 4. Verifica dei limiti di frequenza per le nuove passkey per utente/IP
if (rateLimitExceeded("new_passkey_registration", userId, request.ip)) {
logSecurityAlert(userId, "Limite di frequenza superato per la registrazione di una nuova passkey");
return;
}
// 5. Memorizzare la nuova passkey
storeUserPasskey(userId, webauthnCredential);
sendUserNotification(userId, "Nuova passkey registrata con successo.");
}
2. Migliorare i processi di recupero dell’account
Il recupero dell’account è un’altra principale vulnerabilità. Se un attaccante può avviare un flusso di recupero e poi manipolare l’utente affinché lo approvi, ottiene accesso secondario.
- Ritardare il recupero dell’account: Implementa un periodo di attesa obbligatorio (ad esempio, 24-48 ore) per le azioni critiche di recupero dell’account, in particolare quelle che coinvolgono la sostituzione di tutte le passkey esistenti. Nel frattempo, notifica proattivamente l’utente attraverso tutti i canali di comunicazione conosciuti. Questo dà all’utente legittimo la possibilità di intervenire.
- Verifica KYC tramite Video o Agente in Diretta per Reimpostazione Completa: Per situazioni in cui un utente ha perso tutte le sue passkey e altri metodi di recupero, considera di richiedere una verifica video in diretta con un agente di supporto. È una soluzione ad alto attrito, ma per gli account critici, è un forte deterrente contro l’ingegneria sociale automatizzata.
- Passkey di “Cassa-vetro”: Per gli account degli amministratori interni o i sistemi altamente sensibili, considera di avere una passkey fisica di “cassa-vetro” conservata in un luogo sicuro e auditato, che richieda multiple approvazioni per essere utilizzata. Non è per gli account dei consumatori, ma per obiettivi di alto valore, è indispensabile.
3. Educazione degli utenti che funziona realmente
Ci occupiamo di “educazione degli utenti” da decenni, e onestamente, gran parte di essa fallisce. Per le passkey, abbiamo bisogno di indicazioni mirate, tempestive e specifiche.
- “Cosa Aspettarsi” Guide: Spiega chiaramente agli utenti come appaiono le notifiche di passkey legittime e i processi di recupero. Mostra screenshot.
- “Cosa NON Fare” Avvisi: Avvisa specificamente gli utenti di non approvare le registrazioni di passkey che non hanno avviato, né di cliccare su link in email che pretendono di “revocare” passkey, soprattutto se non hanno tentato un’azione di sicurezza.
- Controlli di Sicurezza nell’App: Fornisci una sezione facilmente reperibile nella tua applicazione o sito web dove gli utenti possono vedere tutte le passkey registrate, la loro origine (se possibile) e revocarle. Rendi questa funzione semplice e intuitiva.
// Esempio: Avviso nell'app per attività sospette
function displaySuspiciousActivityWarning(userId, activityDetails) {
const warningMessage = `
⚠ Attività Sospetta Rilevata !
Abbiamo rilevato un tentativo di registrazione di una nuova passkey per il tuo account da un dispositivo non riconosciuto (${activityDetails.ipAddress} - ${activityDetails.location}) alle ${activityDetails.timestamp}.
Se sei stato tu, puoi ignorarlo in tutta sicurezza. Se non sei stato tu, ti preghiamo di agire immediatamente:
- Vai nelle tue Impostazioni di Sicurezza per esaminare e revocare le passkey.
- Cambia i tuoi altri metodi di recupero (ad esempio, password email).
- Contatta il supporto se hai bisogno di aiuto.
`;
document.getElementById('security-alert-banner').innerHTML = warningMessage;
document.getElementById('security-alert-banner').style.display = 'block';
}
Questo tipo di avviso diretto nell’app, attivato dalla stessa attività di bot contro cui cerchiamo di difenderci, può essere estremamente efficace.
Consigli Azionabili per gli Esperti in Sicurezza dei Bot
Il campo degli attacchi tramite bot è sempre in evoluzione. Le passkey sono ottime, ma non sono una soluzione definitiva, e gli attaccanti stanno già trovando nuovi modi per sfruttare l’elemento umano che le circonda. Ecco la mia lista di controllo per te:
- Audita i tuoi Flussi di Passkey: Rivedi ogni flusso legato alle passkey – registrazione, accesso, recupero, revoca – con la mente di un attaccante bot. Dove un bot potrebbe interferire con l’ingegneria sociale?
- La Verifica a Strati è Essenziale: Non contare mai su un solo fattore per azioni di grande impatto come la registrazione di una nuova passkey o il recupero completo dell’account. Aggiungi una MFA fuori banda.
- Educa, non Limitarti a Informare: Progetta un’educazione degli utenti che sia proattiva, molto specifica per le minacce delle passkey e integrata direttamente nelle funzionalità di sicurezza della tua applicazione.
- Monitora le Anomalie: Tieni d’occhio i tuoi registri per rilevare modelli insoliti nei tentativi di registrazione delle passkey, nelle richieste di recupero e nei ticket di supporto associati. I bot operano su larga scala, e questi modelli emergeranno.
- Non Dimenticare le Basi: Mentre ti concentri sulle passkey, non trascurare le tue difese fondamentali contro i bot per altre parti della tua applicazione: limitazione rigorosa delle frequenze, reputazione IP, analisi comportamentale e CAPTCHAs quando appropriato. I bot possono evolvere, ma lasciano ancora delle tracce.
Il futuro dell’autenticazione è promettente, ma solo se anticipiamo come gli attori malintenzionati cercheranno di aggirarla. Rimani vigile, rimani sicuro, e ci rivedremo la prossima volta qui su botsec.net.
Articoli Correlati
- Protezione della privacy dei dati dei bot AI
- Il Mio Punto di Vista: OmniMind AI è un Incubo per la Sicurezza
- Notizie sulla Sicurezza AI Oggi: Aggiornamenti Urgenti & Prospettive di Esperti
🕒 Published: