\n\n\n\n Il mio aggiornamento 2026 sulla Botnet: Tattiche di bypass dell'autenticazione - BotSec \n

Il mio aggiornamento 2026 sulla Botnet: Tattiche di bypass dell’autenticazione

By /
📖 10 min read1,946 wordsUpdated Apr 4, 2026

Ciao a tutti, Pat Reeves qui, di nuovo su botsec.net. È marzo 2026 e, se sei come me, probabilmente sei ancora scosso dalla pura audacia di alcune delle attività botnet che abbiamo visto l’anno scorso. Mentre i grandi titoli si concentravano sugli attacchi DDoS e sull’esfiltrazione dei dati, qualcos’altro è stato silenziosamente in fermento sotto la superficie, qualcosa che, francamente, mi tiene sveglio la notte: le tattiche sempre più sofisticate che i bot stanno utilizzando per eludere i metodi di autenticazione tradizionali, specialmente con l’aumento delle passkey.

Ci hanno detto che le passkey sono il futuro, giusto? Resistenti al phishing, crittograficamente sicure, legate ai dispositivi. E per buone ragioni, affrontano molti punti critici del passato. Ma cosa succede quando proprio il meccanismo progettato per proteggerci diventa un vettore di compromesso, non attraverso un difetto nella crittografia stessa, ma nel modo in cui è implementato e, soprattutto, in come i bot apprendono a manipolare l’elemento umano che lo circonda?

Il Paradosso delle Passkey: Una Nuova Frontiera per i Bot

Pensaci. La promessa delle passkey è che eliminano i segreti condivisi (le password) e richiedono interazione dell’utente su un dispositivo fidato. Ottimo! Niente più credential stuffing, niente più spraying, niente più attacchi a dizionario semplici. Ma i bot, benedetti i loro cuoricini digitali persistenti, non si arrendono facilmente. Si adattano. E ciò che ho visto, in particolare nei tentativi di takeover degli account (ATO) su piattaforme che hanno abbracciato completamente le passkey, è uno spostamento verso l’ingegneria sociale su larga scala, armata dall’automazione.

La mia recente esperienza con un cliente, una piattaforma di e-commerce di dimensioni medie che ha puntato tutto sulle passkey la scorsa estate, mi ha davvero aperto gli occhi. Hanno visto un’enorme diminuzione degli attacchi tradizionali basati su credenziali, il che era fantastico. Ma poi, circa tre mesi fa, hanno iniziato a notare un aumento nei tentativi di “login non riuscito” che erano… diversi. Non erano fallimenti di password; erano tentativi di avviare la registrazione o il recupero della passkey da dispositivi non riconosciuti, spesso seguiti da una serie di richieste di supporto da parte di utenti legittimi che affermavano che i loro account stavano per essere “hackerati” nonostante avessero attivato le passkey.

Ciò che abbiamo scoperto è stato un attacco in più fasi. I bot non stavano cercando di indovinare le passkey; stavano cercando di ingannare gli utenti per *generare* o *approvare* nuove passkey su dispositivi controllati dagli attaccanti, o costringendoli a ripristinare quelle esistenti. È una variazione sul classico “approva questo login” della fatica da MFA, ma con rischi più alti perché una passkey compromessa significa pieno controllo dell’account.

Dirottamenti delle Passkey Guidati dai Bot: Come Funziona

Analizziamo il nuovo manuale dei bot per la compromissione delle passkey. Non si tratta di forzare; si tratta di sofisticata ingegneria sociale su larga scala, amplificata dall’automazione.

  1. Ricognizione e Spear-Phishing Leggero: I bot raccolgono dati pubblici, social media e persino dump del dark web per indirizzi email e numeri di telefono. Poi incrociano questi dati con le piattaforme target. L’obiettivo non è ottenere una password, ma identificare utenti attivi.
  2. Il Bait del “Nuovo Dispositivo”: Un bot, spesso mimando un browser legittimo o un’app mobile, tenta di avviare un accesso o una registrazione della passkey per un utente noto sulla piattaforma target. Poiché l’utente non ha una passkey registrata su quell’ dispositivo specifico (l’ambiente simulato del bot), la piattaforma richiede spesso un metodo di verifica alternativo o di “aggiungere una nuova passkey.”
  3. Ingegneria Sociale Automatizzata (ASE): Qui è dove accade la magia (o piuttosto, la minaccia). Il bot, avendo attivato una legittima notifica di sistema (email, SMS, notifica push dall’app stessa), segue immediatamente con un tentativo di phishing mirato. Non si tratta di una generica email per “reimpostare la tua password”. È altamente contestuale.

Immagina questo scenario:

  • Ricevi una notifica push legittima dalla tua app bancaria: “Tentativo di registrazione di nuova passkey rilevato da un dispositivo sconosciuto. Se sei stato tu, approva. Altrimenti, clicca qui per mettere in sicurezza il tuo account.”
  • Contemporaneamente, ricevi un’email meticolosamente elaborata, apparentemente dal team di sicurezza della tua banca, con un oggetto come: “Urgenza: Registrazione di Passkey Non Autorizzata Rilevata – Azione Richiesta.”
  • Il contenuto dell’email è personalizzato, forse persino riferendosi all’orario specifico del tentativo di registrazione. Ti indirizza a una pagina di phishing che sembra identica al portale di sicurezza della tua banca.
  • In questa pagina di phishing, ti viene chiesto di “verificare la tua identità” inserendo la tua vecchia password (se la banca la supporta ancora per il recupero), o, in modo più insidioso, di “revocare passkey non autorizzate”, che in realtà ti invita a *registrare una nuova passkey* sul dispositivo dell’attaccante, camuffata da misura di sicurezza.

La chiave qui è il *tempismo* e il *contesto*. I bot coordinano queste azioni su larga scala, colpendo migliaia di utenti contemporaneamente. L’utente, vedendo una notifica legittima dall’app e un’email molto convincente e tempestiva, è molto più propenso a cadere nel tranello rispetto a una truffa di phishing generica.

Strategie Difensive Pratiche Contro l’Abuso delle Passkey Guidato dai Bot

Quindi, cosa possiamo fare? Non possiamo eliminare le passkey; sono ancora un enorme passo avanti. Ma dobbiamo essere più intelligenti su come le implementiamo e le proteggiamo. Ecco alcune cose su cui ho consigliato ai clienti, con alcuni esempi pratici.

1. Rafforza il Tuo Flusso di Registrazione delle “Nuove Passkey”

Questa è la vulnerabilità più critica. Se un attaccante può ingannare un utente a registrare una nuova passkey sul proprio dispositivo, è finita. Hai bisogno di più livelli di verifica qui, oltre al semplice prompt iniziale della passkey.

  • Secondo Fattore Obbligatorio per Nuove Registrazioni: Anche se un utente è già loggato, è cruciale richiedere una verifica aggiuntiva, fuori banda (come un codice temporaneo inviato a un numero di telefono o a un’email *pre-registrata*, non uno fornito durante il tentativo di registrazione) per *qualsiasi* nuova registrazione o sostituzione di passkey.
  • Attestazione del Dispositivo (dove possibile): Sebbene non sia infallibile, incorporare controlli di attestazione del dispositivo durante la registrazione delle passkey può aiutare a filtrare ovvi macchine virtuali o emulatori che i bot potrebbero utilizzare. Non si tratta di bloccare utenti legittimi, ma di aggiungere attrito per ambienti di attaccanti noti.
  • Limitazione dei Tassi e Rilevamento di Anomalie: Questa è la difesa classica contro i bot, ma qui è ancora più applicabile. Limitazioni aggressive sui tentativi di registrazione delle passkey da singoli IP o intervalli IP, insieme a rilevamento comportamentale delle anomalie (ad esempio, un utente che tenta improvvisamente di registrare 5 nuove passkey in un’ora da diverse posizioni geografiche), possono segnalare attività sospette.

// Esempio: Pseudocodice per un solido flusso di registrazione di nuove passkey
function registerNewPasskey(userId, webauthnCredential) {
 // 1. Controlla sessione esistente e forza di autenticazione
 if (!isAuthenticatedStrongly(userId)) {
 // Costringi a una nuova autenticazione o MFA aggiuntiva
 initiateMFAChallenge(userId, "new_passkey_registration");
 return; // Aspetta il completamento dell'MFA
 }

 // 2. Esegui la validazione di attestazione FIDO2
 if (!validateWebAuthnAttestation(webauthnCredential)) {
 logSecurityAlert(userId, "Invalid WebAuthn attestation during new passkey registration");
 return;
 }

 // 3. Opzionale: Controllo di fingerprinting/attestazione del dispositivo (lato server)
 if (isSuspiciousDeviceFingerprint(request.headers['User-Agent'], request.ip)) {
 logSecurityAlert(userId, "Suspicious device fingerprint for new passkey registration");
 initiateMFAChallenge(userId, "suspicious_device_new_passkey");
 return;
 }

 // 4. Controllo di limitazione dei tassi per nuove passkey per utente/IP
 if (rateLimitExceeded("new_passkey_registration", userId, request.ip)) {
 logSecurityAlert(userId, "Rate limit exceeded for new passkey registration");
 return;
 }

 // 5. Memorizza la nuova credential della passkey
 storeUserPasskey(userId, webauthnCredential);
 sendUserNotification(userId, "Nuova passkey registrata con successo.");
}

2. Migliora i Processi di Recupero degli Account

Il recupero degli account è un altro obiettivo principale. Se un attaccante può avviare un flusso di recupero e poi ingannare l’utente per approvarlo, ha una porta d’accesso.

  • Ritarda il Recupero dell’Account: Implementa un periodo di attesa obbligatorio (ad esempio, 24-48 ore) per azioni critiche di recupero dell’account, specialmente quelle che comportano la sostituzione di tutte le passkey esistenti. Durante questo tempo, notifica l’utente in modo aggressivo tramite tutti i canali di comunicazione noti. Questo dà all’utente legittimo la possibilità di intervenire.
  • Verifica Video KYC o di Agente in Diretta per il Ripristino Completo: Per situazioni in cui un utente ha perso tutte le passkey e altri metodi di recupero, considera di richiedere una verifica video dal vivo con un agente di supporto. È una soluzione ad alta attrito, ma per conti critici, è un forte deterrente contro l’ingegneria sociale automatizzata.
  • Passkey “Break Glass”: Per account amministrativi interni o sistemi altamente sensibili, considera di avere una passkey fisica “break glass” conservata in una posizione sicura e sottoposta ad audit, che richiede più approvazioni per essere utilizzata. Questo non è per gli account consumer, ma per obiettivi di alto valore, è un must.

3. Educazione degli Utenti che Funziona Davvero

Abbiamo fatto “educazione degli utenti” per decenni e, onestamente, gran parte di essa fallisce. Per le passkey, abbiamo bisogno di indicazioni mirate, tempestive e specifiche.

  • “Cosa Aspettarsi” Guida: Spiega chiaramente agli utenti quali sono le notifiche e i processi di recupero delle passkey legittimi. Mostra schermate.
  • “Cosa NON Fare” Avvisi: Preavvisa specificamente gli utenti di non approvare registrazioni di passkey che non hanno iniziato, o di non fare clic su link in email che affermano di “revocare” passkey, soprattutto se non hanno appena tentato un’azione di sicurezza.
  • Controlli di Sicurezza in-App: Fornisci una sezione facilmente reperibile nella tua app o sito web dove gli utenti possono visualizzare tutte le passkey registrate, la loro origine (se possibile), e revocarle. Rendi il tutto semplice e intuitivo.

// Esempio: Avviso in-app per attività sospette
function displaySuspiciousActivityWarning(userId, activityDetails) {
 const warningMessage = `
 
⚠ Attività Sospetta Rilevata!

 
Abbiamo rilevato un tentativo di registrare una nuova passkey per il tuo account da un dispositivo non riconosciuto (${activityDetails.ipAddress} - ${activityDetails.location}) alle ${activityDetails.timestamp}.

 
Se sei stato tu, puoi ignorare questo messaggio. Se NON sei stato tu, ti preghiamo di agire immediatamente:

 
    
 
  • Vai alle tue Impostazioni di Sicurezza per esaminare e revocare le passkey.
    • 
 
  • Cambia i tuoi altri metodi di recupero (ad es., password email).
    • 
 
  • Contatta il supporto se hai bisogno di assistenza.
    • 
 

 
 
 `;
 document.getElementById('security-alert-banner').innerHTML = warningMessage;
 document.getElementById('security-alert-banner').style.display = 'block';
}

Questo tipo di avviso diretto in-app, attivato dalla stessa attività di bot contro cui stiamo cercando di difenderci, può essere incredibilmente efficace.

Consigli Pratici per i Professionisti della Sicurezza dei Bot

Il panorama degli attacchi dei bot è sempre in evoluzione. Le passkey sono fantastiche, ma non sono una soluzione unica, e gli attaccanti stanno già trovando nuovi modi per sfruttare l’elemento umano attorno a esse. Ecco la mia lista di controllo per te:

  • Audita i Tuoi Flussi di Passkey: Esamina ogni singolo flusso relativo alle passkey – registrazione, accesso, recupero, revoca – con la mentalità di un attaccante bot. Dove può un bot intervenire con ingegneria sociale?
  • La Verifica a Livelli è Fondamentale: Non fare mai affidamento su un solo fattore per azioni ad alto impatto come la registrazione di nuove passkey o il recupero completo dell’account. Aggiungi MFA fuori banda.
  • Educa, Non Solo Informare: Progetta un’educazione per gli utenti che sia proattiva, molto specifica sulle minacce legate alle passkey e integrata direttamente nelle funzionalità di sicurezza della tua applicazione.
  • Monitora per Anomalie: Tieni d’occhio i tuoi log per schemi insoliti nei tentativi di registrazione delle passkey, nelle richieste di recupero e nei ticket di supporto degli utenti correlati a questi. I bot operano su larga scala e quei modelli emergeranno.
  • Non Dimenticare i Fondamentali: Mentre ti concentri sulle passkey, non trascurare le tue difese fondamentali contro i bot per altre parti della tua applicazione: controllo rigoroso dei tassi, reputazione IP, analisi comportamentale e CAPTCHA dove appropriato. I bot possono evolversi, ma lasciano comunque tracce.

Il futuro dell’autenticazione è promettente, ma solo se anticipiamo come i cattivi attori cercheranno di sovvertirlo. Rimani vigile, rimani sicuro, e ci vediamo la prossima volta qui su botsec.net.

Articoli Correlati

You May Also Like

🕒 Published:

📚 You Might Also Like

✍️
Written by Jake Chen

AI technology writer and researcher.

Learn more →
Browse Topics: AI Security | compliance | guardrails | safety | security
Scroll to Top