I bot automatizzati, sempre più sofisticati, stanno aggirando le barriere della sicurezza tradizionale e minacciano direttamente applicazioni, API e dati sensibili delle aziende. Il nuovo report “Advanced Persistent Bots 2025” di F5 Labs analizza le tecniche in evoluzione degli attacchi bot e individua tre rischi chiave da cui le organizzazioni devono oggi imparare a difendersi. Le nuove minacce informatiche non si presentano più sotto forma di malware visibili o attacchi esplosivi. Piuttosto, si insinuano silenziosamente nelle interazioni quotidiane, imitando il comportamento umano e approfittando di falle logiche nei sistemi: sono i bot sofisticati, strumenti automatizzati che riescono sempre più spesso ad aggirare i sistemi di difesa tradizionali.
Secondo David Warburton, Director di F5 Labs, «le difese convenzionali non sono più sufficienti a contrastare i nuovi bot avanzati. Questi strumenti si mascherano da utenti reali, usando tecniche come proxy residenziali e comportamenti simulati per eludere blocchi IP, CAPTCHA e controlli di accesso standard».
David Warburton, Director di F5 Labs
Il report “Advanced Persistent Bots 2025” mette in evidenza tre principali aree di rischio emergenti. Vediamole in dettaglio.
1. Credential Stuffing
Si tratta di una delle tecniche più pervasive e pericolose tra gli attacchi automatizzati. Consiste nell’uso massivo di coppie di username e password rubate (spesso reperite da precedenti violazioni) per tentare l’accesso a diversi servizi online, approfittando della pessima abitudine – ancora molto diffusa – di riutilizzare le stesse credenziali su più piattaforme. Secondo il report, in alcune aziende oltre l’80% del traffico di login proviene da attacchi bot di credential stuffing. Anche con tassi di successo apparentemente bassi (1-3%), l’enorme volume di tentativi garantisce agli attaccanti accessi riusciti in quantità rilevanti.
Un esempio emblematico è quello della violazione di PayPal nel 2022, dove circa 35.000 account furono compromessi per raccogliere dati personali monetizzabili. Più recentemente, il caso 23andMe ha mostrato i danni reputazionali e operativi di un attacco mirato ai dati sensibili degli utenti: i profili rubati sono stati venduti nel dark web per cifre fino a 100.000 dollari per 100.000 profili.
La natura insidiosa del credential stuffing risiede nel fatto che i bot utilizzano credenziali valide, spesso non attivando gli allarmi tradizionali. Anche la Multi-Factor Authentication (MFA), sebbene utile, può essere bypassata tramite tecniche come i phishing proxy in tempo reale. L’unico modo per arginare il fenomeno è adottare sistemi avanzati di rilevamento bot, basati su analisi comportamentale, fingerprinting del dispositivo e monitoraggio intelligente dei pattern di accesso.
2. Il settore hospitality sotto attacco
Il report F5 evidenzia un preoccupante incremento dell’attività bot anche nel settore hospitality, che include hotel, ristoranti, piattaforme di prenotazione e programmi fedeltà. In questo contesto, i bot sono usati principalmente per due scopi illeciti: il carding e lo sfruttamento delle gift card.
Nel carding, i bot verificano rapidamente le combinazioni di carte di credito rubate su pagine di checkout e API, per individuare numeri validi. I gift card bot, invece, sono progettati per accedere ai conti fedeltà, controllare saldi, riscattare punti o monetizzare carte regalo in modo fraudolento. Con un aumento del 300% dell’attività bot rispetto all’anno precedente e un valore medio delle gift card sempre più alto, le aziende dell’hospitality si trovano ad affrontare una minaccia tangibile. I cybercriminali approfittano di vulnerabilità come codici sequenziali o prevedibili nei numeri delle gift card, agendo su scala industriale per monetizzare questi asset digitali. Le aziende del settore devono pertanto implementare contromisure dedicate: dal monitoraggio in tempo reale delle transazioni sospette, all’impiego di soluzioni intelligenti di rilevamento bot, capaci di distinguere utenti reali da automatismi fraudolenti. I CAPTCHA, un tempo strumento principe per bloccare i bot, oggi sono facilmente aggirati e non costituiscono più una protezione efficace.
3. Elusione sistematica
Un’ulteriore minaccia in crescita è rappresentata dalla capacità dei bot di eludere sistematicamente le barriere convenzionali. Gli operatori malevoli ricorrono sempre più spesso a proxy residenziali, ovvero reti di dispositivi compromessi che instradano il traffico dei bot attraverso indirizzi IP di utenti comuni. In questo modo, l’attività fraudolenta appare come proveniente da normali dispositivi mobili o browser legittimi, rendendo inefficace il blocco IP. Anche aziende come Okta hanno segnalato massicce campagne di credential stuffing condotte tramite questi proxy, con milioni di richieste fraudolente mascherate da traffico legittimo. A complicare ulteriormente la difesa c’è il superamento sistematico dei CAPTCHA, ormai risolti in tempo reale da click farm umane o software avanzati di riconoscimento visivo. Secondo F5, l’unica risposta efficace è adottare un approccio intelligente e adattivo: analizzare il comportamento dell’utente, monitorare micro-interazioni, rilevare deviazioni rispetto alla normalità e classificare gli accessi in base a rischio e contesto. Solo così è possibile identificare e bloccare i bot sofisticati, senza penalizzare l’esperienza dell’utente reale.
Leggi anche: “Nuove minacce alimentate dall’IA“
*illustrazione articolo progettata da Freepik
The post Minacce silenziose minano la sicurezza first appeared on Hackerjournal.it.