INDICE
Le credenziali di accesso sono diventate la risorsa più ricercata nei mercati criminali online. Non i dati dei clienti, non i segreti industriali: un nome utente e una password validi per un account aziendale con i privilegi giusti valgono spesso più di qualsiasi archivio di dati grezzi, perché permettono di entrare nei sistemi senza forzare nulla, muovendosi come utenti legittimi.
Secondo il Verizon Data Breach Investigations Report 2025 le credenziali compromesse sono il vettore di accesso iniziale più diffuso in assoluto, coinvolte nel 32% di tutte le violazioni confermate, più del doppio rispetto a qualsiasi altro vettore singolo. Negli attacchi alle applicazioni web, la percentuale sale all’88%. Non si tratta di una statistica isolata, è la conferma che il controllo dell’identità digitale è diventato il perimetro reale da difendere.
Le credenziali rubate rappresentano il vettore di accesso iniziale più diffuso nelle violazioni confermate, presenti nel 22% dei casi analizzati, più del doppio rispetto a phishing e social engineering considerati singolarmente. Fonte: Verizon Data Breach Investigations Report 2025
Il motivo è semplice: chi acquista quelle credenziali non deve superare difese tecniche, non deve sfruttare vulnerabilità di sistema, non deve eludere firewall. Accede con le credenziali di un dipendente reale, eredita i suoi permessi e si muove nell’ambiente aziendale con la copertura di un’identità legittima. Questo rende l’attacco più difficile da rilevare e spesso più devastante nelle conseguenze.
Come vengono rubate le credenziali aziendali
Le tecniche sono consolidate ma in continua evoluzione. Conoscerle è il primo passo per difendersi.
Phishing e spear phishing
Il phishing rimane il vettore primario. Una email che imita un servizio aziendale, un portale di autenticazione contraffatto, un link che porta a una pagina di login identica a quella reale: l’utente inserisce le proprie credenziali senza accorgersi di nulla. Nello spear phishing, l’attacco è personalizzato sul singolo bersaglio il che aumenta significativamente il tasso di successo.
Credential stuffing
Il credential stuffing sfrutta un dato di fatto: la maggior parte delle persone riutilizza le stesse password su più servizi. Quando un database di credenziali viene rubato da un sito qualsiasi e pubblicato online, i criminali lo usano in modo automatizzato per tentare l’accesso su piattaforme aziendali, VPN, webmail e portali cloud. Se un dipendente usa la stessa password del suo account personale anche per l’accesso aziendale, quel database diventa una chiave.
Infostealer e malware
Gli infostealer sono una categoria di malware progettati specificamente per estrarre credenziali salvate nei browser, nelle applicazioni e nei gestori di password locali. Strumenti come Raccoon, RedLine o Vidar vengono distribuiti tramite campagne di phishing, software pirata o pubblicità malevola. Una volta eseguiti sul dispositivo, esportano silenziosamente l’intero archivio di credenziali salvate verso i server degli attaccanti. I dati così ottenuti vengono poi venduti in blocco o usati direttamente.
Il mercato degli initial access broker
Negli ultimi anni si è consolidata una figura specifica nell’ecosistema criminale: l’initial access broker. Si tratta di attori che non conducono l’attacco, ma si specializzano nell’ottenere l’accesso iniziale a reti aziendali e nel rivendere questo accesso ad altri gruppi, tipicamente operatori di ransomware. È una divisione del lavoro che ha reso le violazioni più scalabili e più difficili da attribuire.
Secondo il CrowdStrike Global Threat Report 2024, il tempo medio tra l’accesso iniziale e il movimento laterale si è ridotto a meno di 2 ore nei casi più rapidi osservati.
I quattro principali vettori di compromissione delle credenziali aziendali secondo il modello di attacco documentato
da ENISA e Verizon DBIR 2025
Dopo il furto: dalla compromissione alla violazione
L’accesso con credenziali rubate è quasi sempre il primo passo di un attacco più ampio, non il fine. Una volta dentro, l’attaccante esplora l’ambiente, cerca di elevare i propri privilegi, si muove lateralmente verso sistemi più sensibili e si stabilizza con meccanismi di persistenza che gli garantiscono l’accesso anche se la password originale viene cambiata.
In questo scenario, il danno reale arriva settimane o mesi dopo la compromissione iniziale. Il tempo medio di permanenza di un attaccante nella rete prima del rilevamento rimane significativo. Ogni giorno non rilevato è un giorno in più per raccogliere dati, preparare l’esfiltrazione o posizionare il payload del ransomware.
Perché l’MFA tradizionale non è sempre sufficiente
L’autenticazione a più fattori è una contromisura efficace, ma non invalicabile. Gli attaccanti hanno sviluppato tecniche specifiche per aggirarla.
Il più diffuso è l’attacco di tipo adversary-in-the-middle (AiTM), in cui un proxy trasparente si interpone tra l’utente e il servizio legittimo, catturando in tempo reale sia le credenziali che il token di sessione generato dopo l’autenticazione MFA. Framework come Evilginx2 hanno reso questa tecnica accessibile anche a operatori non particolarmente sofisticati. Il risultato è che l’utente completa l’autenticazione normalmente, incluso il secondo fattore, senza accorgersi che il token di sessione è stato rubato.
Esistono poi attacchi di MFA fatigue, in cui l’attaccante che già possiede le credenziali inonda il dispositivo della vittima di notifiche push di autenticazione finché questa, per stanchezza o errore, approva l’accesso. Questo vettore ha contribuito ad alcuni degli incidenti più noti degli ultimi anni, tra cui quello che ha coinvolto Uber nel 2022.
Ciò non significa che l’MFA sia inutile, al contrario, riduce drasticamente la superficie d’attacco rispetto all’autenticazione basata sulla sola password. Significa però che non tutte le implementazioni di MFA offrono lo stesso livello di protezione.
Le contromisure concrete
MFA resistente al phishing
Le implementazioni MFA più robuste sono quelle basate su standard FIDO2 e WebAuthn, che legano il secondo fattore crittograficamente al dominio del servizio. Una chiave di sicurezza hardware (come una YubiKey) o una passkey non può essere intercettata da un proxy AiTM, perché la verifica avviene localmente e dipende dal dominio specifico. Queste soluzioni sono oggi adottabili anche in contesti aziendali di medie dimensioni, con costi e complessità gestibili.
Per le organizzazioni che non possono migrare immediatamente a FIDO2, un miglioramento immediato consiste nell’abbandonare l’OTP via SMS, vulnerabile a SIM swapping e intercettazione, a favore di app di autenticazione con verifica basata su numero abbinato.
Privileged Access Management
Il Privileged Access Management (PAM) è l’insieme di controlli che governano l’accesso agli account con privilegi elevati: amministratori di sistema, account di servizio, credenziali di accesso a infrastrutture critiche. Un sistema PAM centralizza la gestione di queste credenziali, introduce sessioni monitorate, ruota automaticamente le password degli account privilegiati e garantisce che nessuna credenziale ad alto privilegio sia permanentemente esposta o memorizzata in chiaro.
È una delle contromisure più efficaci contro il movimento laterale: anche se un attaccante riesce a ottenere l’accesso a un account ordinario, l’escalation verso sistemi critici risulta significativamente più difficile.
Monitoraggio delle identità e rilevamento anomalie
Le soluzioni di Identity Threat Detection and Response (ITDR) analizzano il comportamento degli account nel tempo e segnalano anomalie: accessi da geolocalizzazioni inusuali, orari incongruenti con i pattern abituali, sequenze di azioni che non corrispondono al profilo storico dell’utente. Questo approccio consente di rilevare l’uso di credenziali compromesse anche quando la fase di autenticazione è andata a buon fine.
In ambienti Microsoft, strumenti come Microsoft Entra ID Protection offrono capacità di rilevamento integrate. Per ambienti più complessi o ibridi, soluzioni SIEM e UEBA dedicate possono aggiungere uno strato di analisi comportamentale più granulare.
Formazione continua
La formazione rimane una contromisura imprescindibile, non sostitutiva delle soluzioni tecniche ma complementare. Campagne di phishing simulate, sessioni di awareness specifiche sugli attacchi alle identità e procedure chiare per la segnalazione di anomalie riducono significativamente la probabilità che un dipendente ceda le proprie credenziali o approvi un’autenticazione non richiesta.
Identity security come approccio integrato
Le organizzazioni più esposte sono quelle che trattano la protezione delle identità come un problema puntuale da risolvere con un singolo strumento. L’approccio più efficace è sistemico: governance degli account, revisione periodica dei permessi, integrazione tra sistemi di autenticazione e sistemi di rilevamento, e un processo definito di risposta in caso di compromissione confermata o sospetta.
Il concetto di riferimento è lo Zero Trust: non fidarsi mai di una sessione solo perché l’autenticazione è avvenuta con successo, ma verificare continuamente contesto, comportamento e livello di rischio. Le organizzazioni che vogliono affrontare seriamente il problema delle identità compromesse, non possono prescindere da questa modalità
Cyber Ack supporta le organizzazioni nella valutazione e implementazione di soluzioni di Identity Security, dall’analisi dei rischi legati agli account privilegiati fino alla definizione di un modello di autenticazione coerente con la propria infrastruttura e i propri requisiti normativi.
FAQ – Identity Security
Cos’è il credential stuffing? È una tecnica in cui gli attaccanti usano elenchi di credenziali rubate da altre piattaforme per tentare accessi automatizzati su sistemi aziendali, sfruttando la tendenza degli utenti a riutilizzare le stesse password su più servizi.
L’MFA protegge sempre dal furto di credenziali? L’MFA riduce sensibilmente il rischio, ma non tutte le implementazioni offrono lo stesso livello di protezione. Le soluzioni basate su FIDO2 e passkey sono resistenti agli attacchi di tipo adversary-in-the-middle, mentre OTP via SMS e notifiche push possono essere aggirate con tecniche specifiche.
Cos’è un initial access broker? È un attore criminale specializzato nell’ottenere l’accesso iniziale a reti aziendali, spesso tramite credenziali rubate e nel rivendere questo accesso ad altri gruppi, tipicamente operatori di ransomware o gruppi APT.
Come faccio a sapere se le credenziali dei miei utenti sono già state compromesse? Esistono servizi di threat intelligence che monitorano i marketplace del dark web e i dump pubblici di credenziali, segnalando in tempo reale la presenza di indirizzi email aziendali in archivi di dati rubati. Alcune piattaforme enterprise offrono questa funzionalità integrata nei sistemi di gestione delle identità.
Qual è la differenza tra MFA e autenticazione passwordless? L’MFA aggiunge un secondo fattore di verifica alla password esistente. L’autenticazione passwordless elimina la password come fattore primario, sostituendola con metodi crittograficamente più robusti come chiavi hardware FIDO2, biometria o passkey. Quest’ultima è considerata superiore perché rimuove il vettore d’attacco della password compromessa alla radice.