Martedi 07 Luglio 2026 01:12:38 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Security Awareness & Social Engineering

Dentro le Ombre: Come le Bande di Phishing AiTM Stanno Saccheggiando i Cloud Aziendali

Pubblicato: 02 Maggio 2026 17:32Categoria: Security Awareness & Social EngineeringAutore: LOGICFALCON

Sottotitolo: Cybercriminali spietati stanno usando tattiche avanzate di Adversary-in-the-Middle per infiltrarsi e depredare le piattaforme SaaS a velocità record.

Tutto inizia con una telefonata: un avviso “urgente” da quella che sembra la postazione IT della tua azienda. Pochi minuti dopo, documenti aziendali riservati, contratti con i fornitori e dati dei dipendenti vengono risucchiati dai tuoi account cloud a un ritmo vertiginoso. Benvenuti nella nuova era dell’estorsione SaaS, in cui bande di cybercriminali come CORDIAL SPIDER e SNARKY SPIDER utilizzano sofisticate tattiche Adversary-in-the-Middle (AiTM) per saccheggiare alcune delle piattaforme business più affidabili al mondo.

L’Anatomia di un Colpo al SaaS

La sicurezza tradizionale sugli endpoint non riesce a tenere il passo con attaccanti che hanno spostato il focus sul cloud. Invece di sfruttare bug software, questi gruppi sfruttano la fiducia umana e le errate configurazioni del SaaS. Le loro campagne iniziano con il vishing-phishing vocale-in cui gli attaccanti si spacciano per l’assistenza IT per creare panico e urgenza. I dipendenti vengono indotti a visitare portali di phishing AiTM, quasi indistinguibili dalle reali pagine di single sign-on (SSO).

Una volta inserite credenziali e token di sessione, gli attaccanti li catturano in tempo reale, ottenendo accesso immediato e dall’aspetto legittimo ai provider di identità aziendali e a tutte le app SaaS collegate. La violazione è quasi invisibile: l’accesso “sembra” normale alla vittima. Da lì, gli attaccanti si muovono rapidamente-spesso eliminando dispositivi di autenticazione a più fattori (MFA) legittimi e registrando i propri, talvolta usando emulatori sofisticati come Genymobile o Windows Quick Emulator per imitare hardware mobile reale.

Per mantenere la furtività, i criminali sopprimono i “segnali di fumo” digitali. Le email di sicurezza automatiche vengono eliminate o filtrate tramite regole di posta in arrivo malevole che prendono di mira termini chiave come “alert”, “incident” o “MFA”. Questo fa sì che sia gli utenti sia i team di sicurezza restino all’oscuro-finché i dati sensibili non sono spariti.

Saccheggiare il Cloud

Con l’accesso assicurato e le prove cancellate, gli attaccanti eseguono ricerche mirate di dati ad alto valore: contratti riservati, numeri di Social Security, credenziali VPN e altro ancora. L’esfiltrazione spesso inizia entro un’ora, e velocità e precisione rendono il rilevamento eccezionalmente difficile. È significativo che la causa radice raramente sia un difetto software-piuttosto, si tratta di errate configurazioni come controlli di accesso troppo permissivi e l’assenza di MFA resistente al phishing.

Per offuscare ulteriormente le proprie tracce, gli attaccanti si affidano a VPN commerciali e servizi di proxy residenziali, facendo apparire la loro attività come innocuo traffico di un utente domestico. Questo manda in crisi molti controlli di sicurezza basati su IP, consentendo loro di confondersi mentre portano a termine il colpo.

Reagire: Le Nuove Regole della Difesa

Fermare questi attacchi nativi del cloud richiede più dei tool legacy. I team di sicurezza devono monitorare flussi di autenticazione insoliti, analizzare i comportamenti di sessione e segnalare accessi anomali per area geografica. Audit regolari dei provider di identità e un irrigidimento della gestione delle configurazioni sono ormai mission-critical. Nel mondo ad alta posta in gioco del SaaS, vigilanza e difesa proattiva sono tutto ciò che si frappone tra i tuoi dati e la nuova razza di banditi digitali.

TECHCROOK

Per contrastare phishing AiTM e furti di sessione su servizi SaaS, una contromisura concreta è l’adozione di chiavi di sicurezza FIDO2 resistenti al phishing come YubiKey 5 NFC. Questo dispositivo hardware abilita autenticazione a più fattori basata su crittografia a chiave pubblica, riducendo drasticamente il rischio di compromissione anche quando l’utente finisce su pagine di login false: la chiave verifica dominio e origine della richiesta, impedendo l’uso dei token rubati. Supporta FIDO2/WebAuthn e U2F, funziona via USB-A e NFC, ed è compatibile con principali provider di identità e suite cloud (SSO, Google Workspace, Microsoft). Ideale per utenti aziendali e amministratori con accessi privilegiati. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

YubiKey 5 NFC è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • AiTM (Adversary: AiTM è un attacco informatico in cui gli attaccanti intercettano e manipolano le comunicazioni dell’utente per rubare credenziali o dati di sessione, spesso aggirando i controlli di sicurezza.
  • SaaS (Software: SaaS (Software as a Service) fornisce applicazioni ospitate nel cloud via internet, permettendo agli utenti di accedere al software senza installazione o manutenzione locale.
  • Vishing: Il vishing è una truffa telefonica in cui gli attaccanti si spacciano per entità fidate per rubare informazioni sensibili o denaro tramite chiamate ingannevoli.
  • MFA (Multi: L’MFA richiede agli utenti di verificare la propria identità con due o più metodi, aumentando notevolmente la sicurezza dell’account e riducendo i rischi di accesso non autorizzato.
  • Residential Proxy: Un proxy residenziale usa un vero indirizzo IP domestico per far apparire l’attività online come proveniente da un utente reale, mascherando la fonte effettiva.

Man mano che gli attori della minaccia affinano i loro metodi e le piattaforme SaaS diventano sempre più radicate nel mondo corporate, la linea tra cloud fidato e parco giochi criminale si assottiglia pericolosamente. La battaglia per la sicurezza del cloud è appena iniziata-e la posta in gioco non è mai stata così alta.