Buongiorno a tutti, Pat Reeves qui, di nuovo su botsec.net. Siamo a marzo 2026, e se siete come me, siete probabilmente ancora un po’ scioccati dall’audacia di alcune delle attività dei botnet che abbiamo osservato l’anno scorso. Mentre i titoli principali si concentravano sugli attacchi DDoS e sull’exfiltrazione dei dati, qualcosa d’altro è emerso silenziosamente, qualcosa che, francamente, mi impedisce di dormire la notte: le tattiche sempre più sofisticate che i bot usano per eludere i metodi di autenticazione tradizionali, soprattutto con l’ascesa delle passkey.
Ci viene detto che le passkey sono il futuro, giusto? Resistenti al phishing, criptograficamente sicure, legate a un dispositivo. E per buone ragioni, rispondono a molti vecchi punti dolenti. Ma cosa succede quando il meccanismo stesso progettato per proteggerci diventa un vettore di compromissione, non per un difetto nella crittografia stessa, ma per il modo in cui viene implementato e, soprattutto, per come i bot imparano a manipolare l’elemento umano che lo circonda?
Il Paradosso delle Passkey: Una Nuova Frontiera per i Bot
Pensateci. La promessa delle passkey è che eliminano i segreti condivisi (le password) e richiedono un’interazione dell’utente su un dispositivo di fiducia. Ottimo! Niente più credential stuffing, niente più spraying, niente più attacchi semplici da dizionario. Ma i bot, come si chiamano, non si lasciano scoraggiare. Si adattano. E ciò che ho osservato, in particolare nei tentativi di takeover di account (ATO) su piattaforme che hanno completamente adottato le passkey, è uno spostamento verso l’ingegneria sociale su larga scala, potenziato dall’automazione.
La mia recente esperienza con un cliente, una piattaforma di e-commerce di medie dimensioni che ha completamente abbracciato le passkey l’estate scorsa, mi ha davvero aperto gli occhi. Hanno registrato un enorme calo degli attacchi basati su credenziali tradizionali, il che è fantastico. Ma poi, circa tre mesi fa, hanno iniziato a notare un aumento dei tentativi di “accesso non riuscito” che erano… diversi. Non erano errori di password; erano tentativi di avviare la registrazione o il recupero di passkey da dispositivi non riconosciuti, spesso seguiti da una frenesia di richieste di supporto da parte di utenti legittimi che affermavano che i loro account erano stati “hackerati” nonostante l’attivazione delle passkey.
Ciò che abbiamo scoperto era un attacco in più fasi. I bot non cercavano di indovinare le passkey; tentavano di ingannare gli utenti affinché *generassero* o *approvassero* nuove passkey su dispositivi controllati dall’attaccante, o costringerli a reimpostare quelle esistenti. È una variazione della vecchia fatica legata alla MFA del tipo “approva questa connessione”, ma con posta in gioco più alta perché una passkey compromessa significa un controllo totale dell’account.
Dirottamenti di Passkey da parte dei Bot: Come Funziona
Analizziamo il nuovo manuale dei bot per la compromissione delle passkey. Non si tratta di brute-forcing. Si tratta di ingegneria sociale sofisticata su larga scala, amplificata dall’automazione.
- Riconoscimento e Spear-Phishing leggero: I bot frugano nei dati pubblici, nei social media e persino nei dump del dark web per indirizzi e-mail e numeri di telefono. Incrociano quindi queste informazioni con le piattaforme target. L’obiettivo non è ottenere una password, ma identificare utenti attivi.
- Il tranello del “Nuovo Dispositivo”: Un bot, spesso imitante un browser o un’app mobile legittima, tenta di avviare una connessione o una registrazione di passkey per un utente noto sulla piattaforma target. Poiché l’utente non ha una passkey registrata su questo dispositivo specifico (l’ambiente simulato del bot), la piattaforma richiede spesso un metodo di verifica alternativa o di “aggiungere una nuova passkey”.
- Ingengneria Sociale Automatica (ASE): È qui che avviene la magia (o meglio, la minaccia). Il bot, dopo aver attivato una notifica di sistema legittima (e-mail, SMS, notifica push dell’app stessa), segue immediatamente con un tentativo di phishing mirato. Non si tratta di un’e-mail generica per “ripristinare la tua password”. È altamente contestuale.
Immaginate questo scenario:
- Ricevete una notifica push legittima dalla vostra app bancaria: “Tentativo di registrazione di nuova passkey rilevato da un dispositivo sconosciuto. Se eri tu, approva. In caso contrario, clicca qui per proteggere il tuo account.”
- Contestualmente, ricevete un’e-mail meticolosamente progettata, apparentemente dal team di sicurezza della banca, con un oggetto come: “Urgente: Registrazione di passkey non autorizzata rilevata – Azione richiesta.”
- Il contenuto dell’e-mail è mirato, facendo magari anche riferimento all’orario specifico del tentativo di registrazione. Ti reindirizza a una pagina di phishing che somiglia in tutto e per tutto al portale di sicurezza della tua banca.
- Su questa pagina di phishing, ti viene chiesto di “verificare la tua identità” inserendo la tua vecchia password (se la banca la supporta ancora per il recupero), oppure, più subdolamente, di “revocare le passkey non autorizzate” il che ti induce in realtà a *registrare una nuova passkey* sul dispositivo dell’attaccante, mascherato da misura di sicurezza.
La chiave qui è il *tempo* e il *contesto*. I bot coordinano queste azioni su larga scala, colpendo migliaia di utenti simultaneamente. L’utente, vedendo una notifica legittima dall’app e un’e-mail molto convincente e tempestiva, è molto più propenso a cadere nella trappola rispetto a una truffa di phishing generica.
Strategie di Difesa Pratiche Contro l’Abuso delle Passkey da Parte dei Bot
Allora, cosa possiamo fare? Non possiamo abbandonare le passkey; rappresentano ancora un enorme progresso. Ma dobbiamo essere più intelligenti su come le distribuiamo e le proteggiamo. Ecco alcuni consigli che ho dato ai miei clienti, con alcuni esempi pratici.
1. Rafforza il Tuo Flusso di Registrazione di “Nuova Passkey”
Questa è la vulnerabilità più critica. Se un attaccante riesce a convincere un utente a registrare una nuova passkey sul suo dispositivo, è la fine. Hai bisogno di più livelli di verifica qui, oltre al semplice prompt iniziale di passkey.
- Secondo fattore obbligatorio per le nuove registrazioni: Anche se un utente è già connesso, richiedere una verifica aggiuntiva fuori banda (come un codice unico inviato a un numero di telefono o un indirizzo e-mail *pre-registrati*, non quello fornito durante il tentativo di registrazione) per *qualsiasi* nuova registrazione o sostituzione di passkey è cruciale.
- Attestazione del Dispositivo (quando possibile): Sebbene non sia infallibile, l’incorporazione di verifiche di attestazione del dispositivo durante la registrazione della passkey può aiutare a filtrare le macchine virtuali o emulatori evidenti che i bot potrebbero utilizzare. Non si tratta di bloccare utenti legittimi, ma di aggiungere frizioni per gli ambienti noti degli attaccanti.
- Limiti di Frequenza e Rilevamento delle Anomalie: Questo fa parte della difesa classica contro i bot, ma si applica ancora di più qui. Una limitazione di frequenza aggressiva sui tentativi di registrazione delle passkey provenienti da indirizzi IP unici o intervalli di IP, abbinata al rilevamento delle anomalie comportamentali (ad esempio, un utente che improvvisamente tenta di registrare 5 nuove passkey in un’ora da diverse posizioni geografiche), può segnalare un’attività sospetta.
// Esempio: Pseudocodice per un buon flusso di registrazione di una nuova passkey
function registerNewPasskey(userId, webauthnCredential) {
// 1. Verifica della sessione esistente e della forza dell'autenticazione
if (!isAuthenticatedStrongly(userId)) {
// Forzare la re-autenticazione o aggiungere una MFA aggiuntiva
initiateMFAChallenge(userId, "new_passkey_registration");
return; // Attendere la fine della MFA
}
// 2. Validazione dell'attestazione FIDO2
if (!validateWebAuthnAttestation(webauthnCredential)) {
logSecurityAlert(userId, "Attestazione WebAuthn non valida durante la registrazione della nuova passkey");
return;
}
// 3. Facoltativo: Verifica dell'impronta del dispositivo (lato server)
if (isSuspiciousDeviceFingerprint(request.headers['User-Agent'], request.ip)) {
logSecurityAlert(userId, "Impronta del dispositivo sospetta per la registrazione della nuova passkey");
initiateMFAChallenge(userId, "suspicious_device_new_passkey");
return;
}
// 4. Verifica del limite di frequenza per le nuove passkey per utente/IP
if (rateLimitExceeded("new_passkey_registration", userId, request.ip)) {
logSecurityAlert(userId, "Limite di frequenza superato per la registrazione della nuova passkey");
return;
}
// 5. Memorizzare la nuova passkey
storeUserPasskey(userId, webauthnCredential);
sendUserNotification(userId, "Nuova passkey registrata con successo.");
}
2. Migliorare i Processi di Recupero dell’Account
La recupero dell’account è un’altra area di vulnerabilità. Se un attaccante può avviare un flusso di recupero e poi manipolare l’utente affinché lo approvi, ha una porta di accesso.
- Ritardare il Recupero dell’Account: Implementate un periodo di attesa obbligatorio (ad esempio, 24-48 ore) per le azioni critiche di recupero dell’account, in particolare quelle che comportano la sostituzione di tutte le passkey esistenti. Durante questo tempo, informate proattivamente l’utente tramite tutti i canali di comunicazione conosciuti. Questo offre all’utente legittimo la possibilità di intervenire.
- Verifica KYC Video o Agente in Diretta per Reimpostazione Completa: Per le situazioni in cui un utente ha perso tutte le sue passkey e altri metodi di recupero, valutate di richiedere una verifica video dal vivo con un agente di supporto. È una soluzione che richiede più sforzo, ma per conti critici è un potente deterrente contro l’ingegneria sociale automatizzata.
- Passkey “Rottura del Vetro”: Per gli account amministrativi interni o i sistemi altamente sensibili, considerate di avere una passkey fisica “rottura del vetro” memorizzata in un luogo sicuro e auditato, richiedendo più approvazioni per essere utilizzata. Questo non è per gli account dei consumatori, ma per le targhe di alto valore, è indispensabile.
3. Sensibilizzazione degli Utenti che Funziona Davvero
Facciamo “sensibilizzazione degli utenti” da decenni e, onestamente, la maggior parte delle volte non funziona. Per le passkey, abbiamo bisogno di istruzioni mirate, tempestive e specifiche.
- “Guide su cosa aspettarsi”: Spiegate chiaramente agli utenti come appaiono le notifiche e i processi di recupero della passkey legittimi. Mostrate schermate.
- “Avvisi su cosa NON fare”: Avvisate specificamente gli utenti di non approvare le registrazioni di passkey che non hanno avviato, né di cliccare su link in e-mail che affermano di “revocare” passkey, soprattutto se non hanno recentemente tentato di eseguire un’azione di sicurezza.
- Controlli di sicurezza nell’applicazione: Fornite una sezione facile da trovare nella vostra applicazione o sito web dove gli utenti possono vedere tutte le passkey registrate, la loro origine (se possibile) e revocarle. Rendete questo semplice e intuitivo.
// Esempio: Avviso nell'app per attività sospette
function displaySuspiciousActivityWarning(userId, activityDetails) {
const warningMessage = `
⚠ Attività sospetta rilevata!
Abbiamo rilevato un tentativo di registrazione di una nuova passkey per il tuo account da un dispositivo non riconosciuto (${activityDetails.ipAddress} - ${activityDetails.location}) alle ${activityDetails.timestamp}.
Se sei stato tu, puoi ignorarlo in tutta sicurezza. Se NON sei stato tu, ti preghiamo di agire immediatamente:
- Vai nelle tue Impostazioni di sicurezza per rivedere e revocare le passkey.
- Cambia i tuoi altri metodi di recupero (ad esempio, password email).
- Contatta il supporto se hai bisogno di aiuto.
`;
document.getElementById('security-alert-banner').innerHTML = warningMessage;
document.getElementById('security-alert-banner').style.display = 'block';
}
Questo tipo di avviso diretto nell’app, attivato dalla stessa attività di bot contro cui stiamo cercando di difenderci, può essere incredibilmente efficace.
Lezioni pratiche per i professionisti della sicurezza dei bot
Il campo degli attacchi dei bot è in continua evoluzione. Le passkey sono ottime, ma non sono una soluzione unica, e gli attaccanti trovano già nuovi modi per sfruttare l’elemento umano che le circonda. Ecco la mia lista di azioni per voi:
- Auditate i vostri flussi di passkey: Esaminate ogni flusso relativo alle passkey – registrazione, accesso, recupero, revoca – con la mentalità di un attaccante bot. Dove un bot potrebbe intercettare ingegneria sociale?
- La verifica multi-fattore è fondamentale: Non contate mai su un solo fattore per azioni ad alto impatto come la registrazione di una nuova passkey o il recupero completo di un account. Aggiungete una MFA fuori banda.
- Educate, non limitatevi a informare: Progettate un’istruzione per gli utenti che sia proattiva, altamente specifica per le minacce delle passkey, e integrata direttamente nelle funzionalità di sicurezza della vostra applicazione.
- Monitorate le anomalie: Tenete d’occhio i vostri log per rilevare modelli insoliti nei tentativi di registrazione di passkey, nelle richieste di recupero e nei ticket di supporto associati. I bot operano su larga scala e questi modelli emergeranno.
- Non trascurate le basi: Mentre vi concentrate sulle passkey, non dimenticate le vostre difese fondamentali contro i bot per altre parti della vostra applicazione: limitazione della frequenza rigorosa, reputazione IP, analisi comportamentale e CAPTCHA dove appropriato. I bot possono evolversi, ma lasciano sempre delle tracce.
Il futuro dell’autenticazione è promettente, ma solo se anticipiamo come gli attori malintenzionati cercheranno di sovvertirlo. Rimanete vigili, rimanete al sicuro, e ci vediamo la prossima volta qui su botsec.net.
Articoli correlati
- Protezione della privacy dei dati dei bot IA
- La mia opinione: OmniMind IA è un incubo di sicurezza
- Notizie sulla sicurezza dell’IA oggi: Aggiornamenti urgenti & Prospettive di esperti
🕒 Published: