Articolo del blog: Sicurezza online
Ciao e benvenuto su Truffa O Affidabile!
Articolo del blog: Sicurezza online
Le password tradizionali vengono progressivamente sostituite da soluzioni di autenticazione più avanzate come le passkey e l’autenticazione a più fattori (MFA). Presentate come più sicure, queste tecnologie non sono però invulnerabili. I truffatori sviluppano ormai siti “specchio” in grado di intercettare in tempo reale credenziali e sessioni di autenticazione multifattore. Questa evoluzione segna una svolta nelle tecniche di phishing online.
Le passkey si basano sulla crittografia asimmetrica e sostituiscono le password con una coppia di chiavi digitali memorizzata sul dispositivo dell’utente. Sono progettate per impedire il furto di credenziali tramite violazioni di database o attacchi brute force. Da parte loro, i sistemi MFA aggiungono un secondo passaggio di verifica, come un codice temporaneo o una conferma biometrica.
In teoria, questi meccanismi bloccano la maggior parte dei tentativi di intrusione classici. Tuttavia, restano vulnerabili quando un utente convalida personalmente un accesso fraudolento su un sito che imita perfettamente quello originale. La falla non è più nella tecnologia, ma nella manipolazione in tempo reale.
Le nuove campagne d’attacco utilizzano kit di phishing capaci di agire da intermediari tra la vittima e il servizio legittimo. L’utente crede di accedere al proprio account abituale, ma le sue azioni transitano attraverso un server controllato dai truffatori. Questi recuperano così le credenziali e la sessione attiva.
Questo procedimento, talvolta definito “attacco man-in-the-middle”, permette di intercettare persino i codici MFA monouso. In alcuni casi, la convalida biometrica o la conferma via smartphone viene sfruttata istantaneamente dall’attaccante per aprire una propria sessione parallela. Per la vittima la connessione sembra normale, mentre un accesso non autorizzato è già attivo.
Le passkey sono progettate per funzionare solo con il dominio ufficiale di un servizio. Tuttavia, se l’utente viene reindirizzato verso un sito fraudolento il cui aspetto e indirizzo somigliano molto all’originale, può essere indotto ad avviare la procedura di autenticazione.
In alcuni scenari, l’attaccante non cerca di rubare la chiave privata in sé, ma di dirottare la sessione già aperta dopo la convalida. L’obiettivo diventa quindi la presa di controllo dell’account tramite cookie di sessione intercettati. La complessità tecnica dell’attacco aumenta, ma resta possibile di fronte a un utente poco attento.
Anche se questi attacchi sono sofisticati, alcuni indizi possono tradire un sito specchio. Le differenze a volte sono minime, ma esistono. Un controllo attento resta un riflesso essenziale.
Anche un comportamento anomalo dell’account dopo l’accesso (messaggi inviati, impostazioni modificate) deve far scattare l’allerta. In tal caso, occorre agire immediatamente.
Gli enti ufficiali ricordano che la vigilanza umana resta determinante. In Italia, Agenzia per la Cybersicurezza Nazionale (IT) pubblica regolarmente raccomandazioni pratiche. La piattaforma Commissariato di P.S. Online (IT) consente di segnalare contenuti illeciti, mentre l’Autorità Garante della Concorrenza e del Mercato – AGCM (IT) informa sulle pratiche commerciali scorrette.
Diverse misure concrete possono ridurre il rischio:
Anche aziende e pubbliche amministrazioni devono formare i propri team sulle nuove forme di phishing in tempo reale. La sensibilizzazione resta una barriera essenziale.
Se dopo un accesso sospetto permane un dubbio, è consigliabile modificare immediatamente le impostazioni di sicurezza dell’account interessato. Ciò include la revoca delle sessioni attive e la reimpostazione dei metodi di autenticazione.
Occorre poi monitorare eventuali operazioni insolite e contattare il servizio clienti ufficiale della piattaforma. Una segnalazione alle autorità competenti contribuisce a limitare la diffusione della frode. Ulteriori consigli sono disponibili nella nostra guida dedicata alla prevenzione delle truffe digitali, in particolare nel nostro articolo su le buone pratiche per evitare le truffe online.
Le passkey e la MFA rappresentano un grande passo avanti in materia di sicurezza digitale. Tuttavia, l’ingegnosità dei truffatori dimostra che la sola tecnologia non basta. Gli attacchi basati sull’intercettazione della sessione in tempo reale sfruttano soprattutto la fiducia e la fretta degli utenti.
Adottare semplici abitudini, verificare ogni richiesta di autenticazione e informarsi regolarmente sulle nuove modalità di truffa restano indispensabili. Per approfondire l’argomento, consulta anche il nostro dossier completo su i meccanismi delle frodi e le procedure da seguire in caso di truffa.
Truffa O Affidabile: Il riferimento indipendente e gratuito dedicato all’informazione antifrode, all’analisi delle pratiche ingannevoli e alla protezione dei consumatori dai rischi online. Il nostro team pubblica articoli, allerte e contenuti educativi per aiutare gli utenti a individuare i segnali di truffa, comprendere i meccanismi della frode e adottare i comportamenti corretti di fronte alle truffe digitali.
Il suo obiettivo: contribuire alla prevenzione delle truffe, del phishing, dei siti falsi, delle usurpazioni e delle manipolazioni commerciali online, proponendo contenuti chiari, rigorosi e utili basati sull’analisi di segnali verificabili, testimonianze e fonti affidabili.
Avvertenze: Le informazioni presentate in questo blog sono fornite a scopo informativo e preventivo. Non costituiscono né raccomandazioni ufficiali né consulenze legali, finanziarie o tecniche personalizzate. Devono essere verificate presso gli enti, i servizi o gli interlocutori competenti in base alla situazione. Non siamo responsabili di errori, omissioni o di un uso improprio delle informazioni fornite su questo sito. Se nota un’inesattezza, ce lo segnali.