Ciao a tutti, Pat Reeves qui, di nuovo su botsec.net. È marzo 2026, e se siete come me, probabilmente state ancora elaborando l’audacia di alcune delle attività botnet che abbiamo visto lo scorso anno. Mentre i grandi titoli si concentravano sugli attacchi DDoS e sull’exfiltrazione dei dati, c’è qualcosa che è rimasto silenziosamente in ebollizione sotto la superficie, qualcosa che, francamente, mi tiene sveglio la notte: le tattiche sempre più sofisticate che i bot stanno utilizzando per eludere i metodi di autenticazione tradizionali, specialmente con l’aumento delle passkey.
Ci hanno detto che le passkey sono il futuro, giusto? Resistenti al phishing, crittograficamente sicure, legate ai dispositivi. E per buone ragioni, affrontano un sacco di vecchi problemi. Ma cosa succede quando il meccanismo stesso pensato per proteggerci diventa un vettore di compromissione, non attraverso un difetto nella crittografia, ma nel modo in cui è implementato e, cosa fondamentale, in come i bot apprendono a manipolare l’elemento umano attorno ad esso?
Il Paradosso delle Passkey: Una Nuova Frontiera per i Bot
Pensateci. La promessa delle passkey è che eliminano i segreti condivisi (le password) e richiedono l’interazione dell’utente su un dispositivo fidato. Ottimo! Niente più attacchi di credential stuffing, niente più spraying, niente più attacchi di dizionario semplici. Ma i bot, benedetti i loro persistenti piccoli cuori digitali, non si arrendono così facilmente. Si adattano. E ciò che ho osservato, in particolare nei tentativi di takeover di account (ATO) su piattaforme che hanno completamente abbracciato le passkey, è un passaggio verso l’ingegneria sociale su larga scala, armata dall’automazione.
La mia recente esperienza con un cliente, una piattaforma di e-commerce di medie dimensioni che ha stravolto tutto in estate con le passkey, mi ha realmente aperto gli occhi. Hanno visto un’enorme diminuzione degli attacchi tradizionali basati su credenziali, il che era fantastico. Ma poi, circa tre mesi fa, hanno iniziato a notare un picco nei tentativi di “accesso non riuscito” che erano… diversi. Questi non erano fallimenti di password; erano tentativi di avviare la registrazione o il recupero della passkey da dispositivi non riconosciuti, spesso seguiti da una raffica di richieste di supporto da utenti legittimi che sostenevano che i loro account fossero stati “hackerati” nonostante avessero le passkey attivate.
Ciò che abbiamo scoperto era un attacco multi-fase. I bot non stavano cercando di indovinare le passkey; stavano cercando di ingannare gli utenti per *generare* o *approvare* nuove passkey su dispositivi controllati dagli attaccanti, o costringerli a resettare quelle esistenti. È una variazione della vecchia fatica da MFA di “approva questo accesso”, ma con stake più alti poiché una passkey compromessa significa controllo completo dell’account.
Dirottamenti di Passkey Guidati dai Bot: Come Funziona
Analizziamo il nuovo playbook dei bot per la compromissione delle passkey. Non si tratta di forza bruta. Si tratta di ingegneria sociale sofisticata su larga scala, amplificata dall’automazione.
- Ricognizione e Spear-Phishing Leggero: I bot raccolgono dati pubblici, social media e persino dump del dark web per indirizzi email e numeri di telefono. Quindi incrociano queste informazioni con le piattaforme target. L’obiettivo non è ottenere una password, ma identificare utenti attivi.
- Il “Bait del Nuovo Dispositivo”: Un bot, spesso mimando un browser o un’app mobile legittima, tenta di avviare un accesso o una registrazione della passkey per un utente noto sulla piattaforma target. Poiché l’utente non ha una passkey registrata su quell’apparecchio specifico (l’ambiente simulato del bot), la piattaforma spesso richiede un metodo di verifica alternativo o di “aggiungere una nuova passkey.”
- Ingegneria Sociale Automatizzata (ASE): Qui è dove accade la magia (o piuttosto, il pericolo). Il bot, avendo attivato una notifica di sistema legittima (email, SMS, notifica push dall’app stessa), poi segue immediatamente con un tentativo di phishing mirato. Non è un generico “reimposta la tua password” email. È altamente contestualizzato.
Immaginate questo scenario:
- Ricevete una legittima notifica push dalla vostra app bancaria: “Nuovo tentativo di registrazione della passkey rilevato da un dispositivo sconosciuto. Se sei stato tu, approva. Se no, clicca qui per mettere in sicurezza il tuo account.”
- Contemporaneamente, ricevete un’email meticolosamente elaborata, apparentemente dalla squadra di sicurezza della vostra banca, con un oggetto come: “Urgente: Registrazione Passkey Non Autorizzata Rilevata – Azione Richiesta.”
- Il contenuto dell’email è su misura, forse fa riferimento al momento specifico del tentativo di registrazione. Ti indirizza a una pagina di phishing che sembra identica al portale di sicurezza della tua banca.
- In questa pagina di phishing, vieni invitato a “verificare la tua identità” inserendo la tua vecchia password (se la banca la supporta ancora per il recupero), o, in modo più insidioso, a “revocare passkey non autorizzate” che in realtà ti costringe a *registrare una nuova passkey* sul dispositivo dell’attaccante, travestito da misura di sicurezza.
La chiave qui è il *timing* e il *contesto*. I bot coordinano queste azioni su larga scala, colpendo migliaia di utenti simultaneamente. L’utente, vedendo una notifica legittima dall’app e un’email molto convincente e tempestiva, è molto più propenso a cascarci rispetto a una truffa di phishing generica.
Strategie di Difesa Pratiche Contro l’Abuso delle Passkey Guidato dai Bot
Quindi, cosa possiamo fare? Non possiamo abbandonare le passkey; sono ancora un enorme passo avanti. Ma dobbiamo essere più intelligenti su come le implementiamo e le proteggiamo. Ecco alcune cose su cui ho consigliato ai clienti, con alcuni esempi pratici.
1. Rafforza il Tuo Flusso di Registrazione delle “Nuove Passkey”
Questa è la vulnerabilità più critica. Se un attaccante riesce a ingannare un utente per registrare una nuova passkey sul proprio dispositivo, è finita. Hai bisogno di più livelli di verifica qui, oltre al semplice prompt iniziale della passkey.
- Fattore Secondario Obbligatorio per Nuove Registrazioni: Anche se un utente è già connesso, è cruciale richiedere una verifica aggiuntiva, fuori banda (come un codice monouso inviato a un numero di telefono o email *pre-registrati*, non uno fornito durante il tentativo di registrazione), per *qualsiasi* registrazione o sostituzione di una nuova passkey.
- Attestazione del Dispositivo (dove possibile): Anche se non infallibile, incorporare controlli di attestazione del dispositivo durante la registrazione della passkey può aiutare a filtrare macchine virtuali ovvie o emulatori che i bot potrebbero utilizzare. Questo non si tratta di bloccare utenti legittimi, ma di aggiungere attrito agli ambienti noti degli attaccanti.
- Limiti di Frequenza e Rilevamento delle Anomalie: Questa è una difesa contro i bot classica, ma qui è ancora più applicabile. Limiti di frequenza aggressivi sui tentativi di registrazione delle passkey da singoli IP o intervalli di IP, insieme al rilevamento di anomalie comportamentali (ad es., un utente che improvvisamente prova a registrare 5 nuove passkey in un’ora da diverse località geografiche), possono segnalare attività sospette.
// Esempio: Pseudocodice per un solido flusso di registrazione di nuove passkey
function registerNewPasskey(userId, webauthnCredential) {
// 1. Controlla la sessione esistente e la forza di autenticazione
if (!isAuthenticatedStrongly(userId)) {
// Richiedi re-autenticazione o MFA aggiuntiva
initiateMFAChallenge(userId, "new_passkey_registration");
return; // Attendi il completamento dell'MFA
}
// 2. Esegui la validazione dell'attestazione FIDO2
if (!validateWebAuthnAttestation(webauthnCredential)) {
logSecurityAlert(userId, "Attestazione WebAuthn non valida durante la registrazione di una nuova passkey");
return;
}
// 3. Facoltativo: Controllo di fingerprinting/attestazione del dispositivo (lato server)
if (isSuspiciousDeviceFingerprint(request.headers['User-Agent'], request.ip)) {
logSecurityAlert(userId, "Fingerprint del dispositivo sospetto per la registrazione di una nuova passkey");
initiateMFAChallenge(userId, "suspicious_device_new_passkey");
return;
}
// 4. Controllo del limite di frequenza per nuove passkey per utente/IP
if (rateLimitExceeded("new_passkey_registration", userId, request.ip)) {
logSecurityAlert(userId, "Limite di frequenza superato per la registrazione di una nuova passkey");
return;
}
// 5. Memorizza la nuova credenziale della passkey
storeUserPasskey(userId, webauthnCredential);
sendUserNotification(userId, "Nuova passkey registrata con successo.");
}
2. Migliora i Processi di Recupero dell’Account
Il recupero dell’account è un’altra primaria meta. Se un attaccante riesce a avviare un flusso di recupero e poi ingannare l’utente per approvarlo, ha una porta sul retro.
- Ritarda il Recupero dell’Account: Implementa un periodo di attesa obbligatorio (ad es., 24-48 ore) per azioni critiche di recupero dell’account, specialmente quelle che comportano la sostituzione di tutte le passkey esistenti. Durante questo periodo, notifica l’utente in modo aggressivo attraverso tutti i canali di comunicazione conosciuti. Questo offre all’utente legittimo la possibilità di intervenire.
- KYC Video o Verifica da Parte di un Agente in Tempo Reale per un Reset Completo: Per situazioni in cui un utente ha perso tutte le passkey e altri metodi di recupero, considera di richiedere una verifica video dal vivo con un agente di supporto. È una soluzione ad alta frizione, ma per conti critici, è un forte deterrente contro l’ingegneria sociale automatizzata.
- Passkey “Break Glass”: Per conti di amministrazione interni o sistemi altamente sensibili, considera di avere una passkey fisica “break glass” conservata in una posizione sicura e sottoposta ad audit, richiedendo più approvazioni per l’uso. Questo non è per conti consumer, ma per obiettivi di alto valore, è indispensabile.
3. Educazione degli Utenti che Funziona Davvero
Abbiamo fatto “educazione degli utenti” per decenni e, onestamente, la maggior parte fallisce. Per le passkey, abbiamo bisogno di indicazioni mirate, tempestive e specifiche.
- “Guide su Cosa Aspettarsi”: Spiega chiaramente agli utenti come appaiono le notifiche sui passkey legittimi e i processi di recupero. Mostra schermate.
- “Cosa NON Fare” Avvisi: Avvisa specificamente gli utenti di non approvare registrazioni di passkey che non hanno iniziato, o di non cliccare su link in email che affermano di “revocare” passkey, specialmente se non hanno appena tentato un’azione di sicurezza.
- Controlli di Sicurezza nell’App: Fornisci una sezione facilmente individuabile nella tua app o sul tuo sito web dove gli utenti possono visualizzare tutti i passkey registrati, la loro origine (se possibile) e revocarli. Rendilo semplice e intuitivo.
// Esempio: Messaggio nell'app per attività sospette
function displaySuspiciousActivityWarning(userId, activityDetails) {
const warningMessage = `
⚠ Attività Sospetta Rilevata!
Abbiamo rilevato un tentativo di registrare un nuovo passkey per il tuo account da un dispositivo non riconosciuto (${activityDetails.ipAddress} - ${activityDetails.location}) alle ${activityDetails.timestamp}.
Se sei stato tu, puoi ignorare questa comunicazione. Se NON sei stato tu, ti preghiamo di agire immediatamente:
- Vai alle tue Impostazioni di Sicurezza per rivedere e revocare i passkey.
- Cambia i tuoi altri metodi di recupero (ad esempio, la password email).
- Contatta il supporto se hai bisogno di assistenza.
`;
document.getElementById('security-alert-banner').innerHTML = warningMessage;
document.getElementById('security-alert-banner').style.display = 'block';
}
Questo tipo di avviso diretto e in-app, attivato dalla stessa attività dei bot contro cui stiamo cercando di difenderci, può essere incredibilmente efficace.
Informazioni Utili per Esperti di Sicurezza dei Bot
Il panorama degli attacchi dei bot è sempre in evoluzione. I passkey sono ottimi, ma non sono una soluzione definitiva e gli attaccanti stanno già trovando nuovi modi per sfruttare l’elemento umano che li circonda. Ecco il mio elenco di cose da fare per te:
- Controlla i tuoi Flussi di Passkey: Esamina ogni singolo flusso relativo ai passkey – registrazione, accesso, recupero, revoca – con la mentalità di un attaccante di bot. Dove può un bot inserire ingegneria sociale?
- Verifica a Strati è Fondamentale: Non fare mai affidamento su un solo fattore per azioni ad alto impatto come la registrazione di un nuovo passkey o il recupero completo dell’account. Aggiungi MFA out-of-band.
- Educa, Non Solo Informare: Progetta un’educazione degli utenti che sia proattiva, molto specifica riguardo alle minacce dei passkey, e integrata direttamente nelle funzionalità di sicurezza della tua applicazione.
- Monitora le Anomalie: Tieni d’occhio i tuoi log per schemi insoliti nei tentativi di registrazione dei passkey, nelle richieste di recupero e nei ticket di supporto degli utenti correlati a questi. I bot operano su larga scala, e quei schemi emergeranno.
- Non Dimenticare le Basi: Mentre ti concentri sui passkey, non trascurare le tue difese fondamentali contro i bot in altre parti della tua applicazione: forte limitazione della velocità, reputazione IP, analisi comportamentale e CAPTCHA dove appropriato. I bot potrebbero evolversi, ma lasciano comunque tracce.
Il futuro dell’autenticazione è forte, ma solo se anticipiamo come i cattivi cercheranno di sovvertirlo. Rimani vigile, rimani al sicuro e ci vediamo la prossima volta qui su botsec.net.
Articoli Correlati
- Protezione della privacy dei dati dei bot AI
- Il Mio Parere: OmniMind AI è un Incubo di Sicurezza
- Notizie sulla Sicurezza AI Oggi: Aggiornamenti Urgenti & Approfondimenti degli Esperti
🕒 Published: