Ciao a tutti, Pat Reeves qui, di nuovo su botsec.net. Siamo a marzo 2026, e se siete come me, probabilmente siete ancora un po’ scioccati dall’audacia di alcune delle attività dei botnet che abbiamo osservato lo scorso anno. Mentre i titoli di giornale si concentravano su attacchi DDoS e sull’exfiltrazione di dati, qualcos’altro è emerso silenziosamente, qualcosa che, a dire il vero, mi impedisce di dormire la notte: le tattiche sempre più sofisticate che i bot utilizzano per aggirare i metodi di autenticazione tradizionali, soprattutto con l’ascesa delle passkey.
Ci dicono che le passkey sono il futuro, giusto? Resistenti al phishing, criptograficamente sicure, legate a un dispositivo. E per ottime ragioni, risolvono molti dei problemi di vecchia data. Ma cosa succede quando il meccanismo stesso progettato per proteggerci diventa un vettore di compromissione, non a causa di un difetto nella crittografia stessa, ma per come viene implementato e, soprattutto, per come i bot imparano a manipolare l’elemento umano che lo circonda?
Il Paradosso delle Passkey: Un Nuovo Frontiera per i Bot
Pensateci. La promessa delle passkey è che eliminano i segreti condivisi (parole d’ordine) e richiedono un’interazione dell’utente su un dispositivo fidato. Fantastico! Niente più credential stuffing, niente più spraying, niente più attacchi semplici da dizionario. Ma i bot, qualunque sia il loro nome, non si danno per vinti. Si adattano. E ciò che ho osservato, in particolare nei tentativi di takeover di account (ATO) su piattaforme che hanno completamente adottato le passkey, è un passaggio verso l’ingegneria sociale su larga scala, alimentata dall’automazione.
La mia recente esperienza con un cliente, una piattaforma di e-commerce di medie dimensioni che ha completamente abbracciato le passkey l’estate scorsa, mi ha davvero aperto gli occhi. Hanno riscontrato una enorme diminuzione degli attacchi basati su credenziali tradizionali, il che era fantastico. Ma poi, circa tre mesi fa, hanno iniziato a notare un aumento dei tentativi di “accesso fallito” che erano… diversi. Non si trattava di fallimenti di password; erano tentativi di avviare la registrazione o il recupero di passkey da dispositivi non riconosciuti, spesso seguiti da una raffica di richieste di supporto da parte di utenti legittimi che sostenevano che i loro account fossero stati “hackerati” nonostante l’attivazione delle passkey.
Ciò che abbiamo scoperto era un attacco in più fasi. I bot non cercavano di indovinare le passkey; tentavano di ingannare gli utenti affinché *generassero* o *approvassero* nuove passkey su dispositivi controllati dall’attaccante, o li costringevano a reimpostare quelle esistenti. È una variazione dell’antica stanchezza legata alla MFA del tipo “approva questa connessione”, ma con rischi maggiori perché una passkey compromessa significa un controllo totale dell’account.
Dirottamenti di Passkey da Parte dei Bot: Come Funziona
Analizziamo il nuovo manuale dei bot per la compromissione delle passkey. Non si tratta di brute-forcing. Si tratta di ingegneria sociale sofisticata su larga scala, amplificata dall’automazione.
- Riconoscimento e Spear-Phishing leggero: I bot setacciano dati pubblici, social media, e persino i dump del dark web per indirizzi e-mail e numeri di telefono. Incrociamo poi queste informazioni con le piattaforme target. L’obiettivo non è ottenere una password, ma identificare utenti attivi.
- Il trucco del “Nuovo Dispositivo”: Un bot, spesso imitando un browser o un’app mobile legittima, tenta di avviare una connessione o una registrazione di passkey per un utente noto sulla piattaforma target. Poiché l’utente non ha una passkey registrata su questo dispositivo specifico (l’ambiente simulato del bot), la piattaforma richiede spesso un metodo di verifica alternativo o di “aggiungere una nuova passkey”.
- Ingegneria Sociale Automatizzata (ASE): Qui è che avviene la magia (o meglio, la minaccia). Il bot, avendo generato una notifica di sistema legittima (email, SMS, notifica push dall’app stessa), segue immediatamente con un tentativo di phishing mirato. Non è un’e-mail generica di “reimposta la tua password”. È altamente contestuale.
Immaginate questo scenario:
- Ricevete una notifica push legittima dalla vostra app bancaria: “Tentativo di registrazione di una nuova passkey rilevato da un dispositivo sconosciuto. Se sei stato tu, approva. Altrimenti, clicca qui per proteggere il tuo account.”
- Allo stesso tempo, ricevete un’e-mail meticolosamente progettata, apparentemente dal team di sicurezza della vostra banca, con un oggetto come: “Urgente: Registrazione di passkey non autorizzata rilevata – Azione richiesta.”
- Il contenuto dell’e-mail è mirato, facendo magari riferimento all’ora specifica del tentativo di registrazione. Vi indirizza verso una pagina di phishing che assomiglia in modo impressionante al portale di sicurezza della vostra banca.
- Su questa pagina di phishing, vi viene chiesto di “verificare la vostra identità” inserendo la vostra vecchia password (se la banca la supporta ancora per il recupero), o, più insidiosamente, di “revocare le passkey non autorizzate”, cosa che in effetti vi spinge a *registrare una nuova passkey* sul dispositivo dell’attaccante, travestita da misura di sicurezza.
La chiave qui è il *tempo* e il *contesto*. I bot coordinano queste azioni su larga scala, colpendo migliaia di utenti simultaneamente. L’utente, vedendo una notifica legittima dall’app e un’e-mail molto persuasiva e tempestiva, è molto più propenso a cadere nella trappola rispetto a un generico tentativo di phishing.
Strategie di Difesa Pratiche contro l’Abuso delle Passkey da Parte dei Bot
Allora, cosa possiamo fare? Non possiamo abbandonare le passkey; rappresentano ancora un immenso progresso. Ma dobbiamo essere più intelligenti su come le distribuiamo e le proteggiamo. Ecco alcuni consigli che ho dato ai miei clienti, con alcuni esempi pratici.
1. Rafforzate il Vostro Flusso di Registrazione di “Nuova Passkey”
Questa è la vulnerabilità più critica. Se un attaccante riesce a convincere un utente a registrare una nuova passkey sul suo dispositivo, è finita. Avete bisogno di più livelli di verifica qui, oltre alla semplice richiesta di passkey iniziale.
- Secondo fattore obbligatorio per le nuove registrazioni: Anche se un utente è già connesso, richiedere una verifica aggiuntiva fuori banda (come un codice unico inviato a un numero di telefono o a un indirizzo e-mail *pre-registrati*, non quello fornito durante il tentativo di registrazione) per *ogni* nuova registrazione o sostituzione di passkey è cruciale.
- Attestazione del Dispositivo (quando possibile): Anche se non è infallibile, l’incorporazione di verifiche di attestazione del dispositivo durante la registrazione della passkey può aiutare a filtrare le macchine virtuali o gli emulatori evidenti che i bot potrebbero utilizzare. Non si tratta di bloccare utenti legittimi, ma di aggiungere ostacoli per gli ambienti noti di attaccanti.
- Limitazione di Tasso e Rilevamento di Anomalie: Questa è parte della difesa classica contro i bot, ma qui si applica ancora di più. Una limitazione di tasso aggressiva sui tentativi di registrazione delle passkey provenienti da indirizzi IP unici o range di IP, insieme alla rilevazione di anomalie comportamentali (ad esempio, un utente che tenta improvvisamente di registrare 5 nuove passkey in un’ora da diverse località geografiche), può segnalare un’attività sospetta.
// Esempio: Pseudocodice per un buon flusso di registrazione di una nuova passkey
function registerNewPasskey(userId, webauthnCredential) {
// 1. Verificare la sessione esistente e la forza di autenticazione
if (!isAuthenticatedStrongly(userId)) {
// Forzare la re-autenticazione o aggiungere una MFA aggiuntiva
initiateMFAChallenge(userId, "new_passkey_registration");
return; // Attendere la fine della MFA
}
// 2. Validazione dell'attestazione FIDO2
if (!validateWebAuthnAttestation(webauthnCredential)) {
logSecurityAlert(userId, "Attestazione WebAuthn non valida durante la registrazione della nuova passkey");
return;
}
// 3. Opzionale: Verifica dell'impronta del dispositivo (lato server)
if (isSuspiciousDeviceFingerprint(request.headers['User-Agent'], request.ip)) {
logSecurityAlert(userId, "Impronta del dispositivo sospetta per la registrazione della nuova passkey");
initiateMFAChallenge(userId, "suspicious_device_new_passkey");
return;
}
// 4. Verifica del limite di frequenza per le nuove passkey per utente/IP
if (rateLimitExceeded("new_passkey_registration", userId, request.ip)) {
logSecurityAlert(userId, "Limite di frequenza superato per la registrazione della nuova passkey");
return;
}
// 5. Memorizzare la nuova passkey
storeUserPasskey(userId, webauthnCredential);
sendUserNotification(userId, "Nuova passkey registrata con successo.");
}
2. Migliorare i Processi di Recupero dell’Account
Il recupero dell’account è un’altra meta privilegiata. Se un attaccante può avviare un flusso di recupero e poi manipolare l’utente per farglielo approvare, ha una porta di ingresso.
- Ritardare il Recupero dell’Account: Implementare un periodo di attesa obbligatorio (ad esempio, 24-48 ore) per le azioni critiche di recupero dell’account, in particolare quelle che comportano la sostituzione di tutte le passkey esistenti. Durante questo tempo, informare proattivamente l’utente tramite tutti i canali di comunicazione noti. Questo dà una possibilità all’utente legittimo di intervenire.
- Verifica KYC Video o Agente dal Vivo per Ripristino Completo: Per le situazioni in cui un utente ha perso tutte le sue passkey e altri metodi di recupero, considerare di richiedere una verifica video in diretta con un agente di supporto. È una soluzione che richiede un grande impegno, ma per account critici, è un potente deterrente contro l’ingegneria sociale automatizzata.
- Passkey “Rompi il Vetro”: Per gli account amministrativi interni o i sistemi altamente sensibili, considerare di avere una passkey fisica “rompi il vetro” conservata in un luogo sicuro e controllato, che richiede più approvazioni per essere utilizzata. Non è per gli account dei consumatori, ma per le mete di alto valore, è indispensabile.
3. Sensibilizzazione degli Utenti che Funziona Davvero
Facciamo “sensibilizzazione degli utenti” da decenni, e onestamente, nella maggior parte dei casi, non funziona. Per le passkey, abbiamo bisogno di istruzioni mirate, tempestive e specifiche.
- “Guide su cosa aspettarsi”: Spiegare chiaramente agli utenti come appaiono le notifiche e i processi di recupero delle passkey legittimi. Mostrare schermate.
- “Avvisi su cosa NON fare”: Avvertire specificamente gli utenti di non approvare le registrazioni di passkey che non hanno avviato e di non cliccare su link in email che pretendono di “revocare” passkey, soprattutto se non hanno recentemente tentato un’azione di sicurezza.
- Controlli di sicurezza nell’applicazione: Fornire una sezione facilmente reperibile nella vostra applicazione o sito web dove gli utenti possono vedere tutte le passkey registrate, la loro origine (se possibile), e revocarle. Rendi il tutto semplice e intuitivo.
// Esempio: Avviso nell'applicazione per attività sospette
function displaySuspiciousActivityWarning(userId, activityDetails) {
const warningMessage = `
⚠ Attività sospetta rilevata!
Abbiamo rilevato un tentativo di registrazione di una nuova passkey per il tuo account da un dispositivo non riconosciuto (${activityDetails.ipAddress} - ${activityDetails.location}) alle ${activityDetails.timestamp}.
Se sei stato tu, puoi ignorarlo in tutta sicurezza. Se NON sei stato tu, ti preghiamo di agire immediatamente:
- Vai nelle tue Impostazioni di sicurezza per rivedere e revocare le passkey.
- Cambia i tuoi altri metodi di recupero (ad esempio, password dell'email).
- Contatta il supporto se hai bisogno di assistenza.
`;
document.getElementById('security-alert-banner').innerHTML = warningMessage;
document.getElementById('security-alert-banner').style.display = 'block';
}
Questo tipo di avviso diretto nell’applicazione, attivato dalla stessa attività di bot contro cui stiamo cercando di difenderci, può essere incredibilmente efficace.
Lezioni pratiche per i professionisti della sicurezza dei bot
Il campo degli attacchi con bot è in costante evoluzione. Le passkey sono eccellenti, ma non sono una soluzione universale, e gli attaccanti stanno già trovando nuovi modi per sfruttare l’elemento umano intorno ad esse. Ecco la mia lista di azioni per te:
- Audita i tuoi flussi di passkey: Rivedi ogni flusso relativo alle passkey – registrazione, accesso, recupero, revoca – con la mentalità di un attaccante di bot. Dove un bot potrebbe intercettare un’ingegneria sociale?
- La verifica in più fasi è fondamentale: Non contare mai su un solo fattore per azioni ad alto impatto come la registrazione di una nuova passkey o il recupero completo di un account. Aggiungi una MFA fuori banda.
- Educa, non limitarti a informare: Progetta un’educazione per gli utenti che sia proattiva, altamente specifica alle minacce delle passkey e integrata direttamente nelle funzionalità di sicurezza della tua applicazione.
- Monitora le anomalie: Tieni d’occhio i tuoi log per rilevare schemi insoliti nei tentativi di registrazione di passkey, nelle richieste di recupero e nei ticket di supporto utente associati. I bot operano su larga scala e questi schemi emergeranno.
- Non trascurare le basi: Mentre ti concentri sulle passkey, non dimenticare le tue difese fondamentali contro i bot per altre parti della tua applicazione: limitazione di banda rigorosa, reputazione IP, analisi comportamentale e CAPTCHA dove è appropriato. I bot possono evolversi, ma lasciano sempre tracce.
Il futuro dell’autenticazione è promettente, ma solo se anticipiamo in che modo gli attori malintenzionati cercheranno di sovvertirlo. Resta vigile, resta sicuro, e ci vediamo la prossima volta qui su botsec.net.
Articoli correlati
- Protezione della privacy dei dati dei bot IA
- Il mio parere: OmniMind IA è un incubo di sicurezza
- Notizie sulla sicurezza dell’IA oggi: Aggiornamenti urgenti & Prospettive di esperti
🕒 Published: