Nell’articolo che condividiamo di seguito, David Warburton, Director di F5 Labs parla di una delle minacce più diffuse che si diffonde silenziosamente nel panorama digitale di oggi: il bot.
L’esperto spiega quali sono i tre rischi principali legati ai bot e cosa possono fare le aziende per difendersi in modo efficace.
Buona lettura!
I bot stanno aggirando le tue difese? 3 rischi da cui proteggersi
Nel panorama digitale di oggi, dove applicazioni e API rappresentano il cuore pulsante delle aziende, si nasconde una minaccia silenziosa: i bot sofisticati. Mentre le misure di sicurezza tradizionali si concentrano sul contrasto agli attacchi più espliciti, queste minacce automatizzate riescono a passare inosservate, imitando il comportamento umano e sfruttando in modo imprevedibile le falle nella logica delle applicazioni.
Il nuovo Report Advanced Persistent Bots 2025 degli F5 Labs fa luce sulle tattiche in evoluzione dei bot più avanzati e le sfide che pongono alle aziende. Ecco tre rischi emersi dalla ricerca e cosa possono fare le aziende per difendersi in modo efficace.
1. Credential stuffing: quando le password rubate mettono a rischio i dati
Immaginiamo uno scenario in cui i criminali informatici utilizzano credenziali rubate, facilmente reperibili online, per accedere agli account. È il meccanismo alla base del credential stuffing, un attacco bot automatizzato che sfrutta la diffusissima abitudine da parte degli utenti a riutilizzare le proprie password. Secondo gli F5 Labs, alcune organizzazioni registrano oltre l’80% del traffico di login proveniente da attacchi di credential stuffing lanciati da bot. Anche con un tasso di successo relativamente basso (1-3%), il volume degli accessi automatizzati si traduce in un numero significativo di account compromessi.
Episodi come la violazione di PayPal nel 2022, in cui sono stati compromessi quasi 35.000 account utente per ottenere informazioni personali facilmente monetizzabili, generano enormi database di username e password da riutilizzare su altri servizi online. Anche un minimo tasso di successo può produrre grandi risultati, dal momento che molte persone riutilizzano le stesse password. Questi dati possono poi essere sfruttati per transazioni fraudolente, furti di dati o venduti nel dark web per attacchi mirati.
Negli ultimi anni, numerosi brand hanno segnalato attacchi di credential stuffing. Il declino della società di test genetici 23andMe è stato in parte attribuito a una campagna di credential stuffing che ha esposto informazioni sanitarie e genealogiche dei clienti. I dati venivano venduti sul dark web a un prezzo di 1.000 dollari per 100 profili, fino a 100.000 dollari per 100.000 profili.
L’azienda ha attribuito la responsabilità alla scarsa adozione dell’autenticazione a più fattori (MFA), ma la natura subdola del credential stuffing risiede proprio nella capacità di aggirare le difese tradizionali. I bot utilizzano credenziali legittime e non cercano di sfruttare vulnerabilità e dunque non attivano gli allarmi tradizionali. La MFA può essere utile, ma con la diffusione dei phishing proxies real-time (RTPP), non è infallibile. Le organizzazioni devono implementare soluzioni intelligenti di rilevamento bot, capaci di analizzare pattern di login, impronte digitali dei dispositivi e anomalie comportamentali.
2. Il settore hospitality sotto attacco: gift card bot e l’ascesa del “carding”
Sebbene finanza e retail siano i settori più colpiti dagli attacchi informatici, il report F5 Labs evidenzia come anche l’industria dell’hospitality sia fortemente colpita dall’attività malevola dei bot. In particolare, fenomeni come il carding e i gift card bot stanno prendendo di mira siti web e API del settore, con alcune aziende che hanno registrato un aumento del 300% dell’attività bot rispetto all’anno precedente. Il report evidenzia anche che il valore medio delle gift card prese di mira è in crescita.
Il carding impiega i bot per verificare rapidamente numeri di carte di credito rubate su pagine di checkout e API. I gift card bot, invece, sfruttano programmi fedeltà e carte regalo per controllare saldi, trasferire punti o riscattare premi in modo illecito. Questi bot mirano spesso a vulnerabilità come codici sequenziali o pattern semplici nei numeri delle carte regalo.
La particolare vulnerabilità del settore hospitality deriva dal fatto che punti fedeltà e gift card sono a tutti gli effetti una moneta digitale. I criminali informatici possono convertire facilmente questi asset in denaro o utilizzarli per acquistare beni e servizi.
Per proteggersi, le aziende del settore devono implementare strategie robuste di rilevamento e mitigazione dei bot, specifiche per questo tipo di minaccia. È essenziale monitorare l’attività delle gift card, analizzare i pattern di transazione e adottare soluzioni in grado di distinguere tra esseri umani e bot. I CAPTCHA, un tempo la soluzione di riferimento per bloccare i bot, sono ormai facilmente aggirati da anni.
3. Eludere i gatekeeper: proxy residenziali e l’inutilità dei CAPTCHA
Le difese tradizionali come i CAPTCHA e il blocco IP risultano sempre più inefficaci contro le moderne tecniche di evasione. Gli operatori bot possono facilmente esternalizzare la risoluzione dei CAPTCHA a click farm, dove persone reali vengono pagate pochi centesimi per risolvere i CAPTCHA in tempo reale.
Inoltre, la diffusione delle reti proxy residenziali è un altro fattore determinante. Queste reti instradano il traffico bot attraverso IP residenziali di dispositivi compromessi, mascherando l’indirizzo IP reale del bot. Il report di F5 Labs indica che i proxy residenziali sono ormai ampiamente utilizzati e che la maggior parte del traffico bot proviene proprio da questi network.
Anche Okta, azienda specializzata in gestione delle identità, ha segnalato un’ondata di attacchi di credential stuffing dovuti all’uso massivo di proxy residenziali. L’azienda ha dichiarato che milioni di richieste fraudolente sono state instradate attraverso proxy residenziali per farle sembrare provenienti da dispositivi mobili e browser di utenti comuni, anziché dallo spazio IP di provider VPS.
Per contrastare efficacemente queste tecniche di evasione, è necessario andare oltre le difese convenzionali e adottare soluzioni di rilevamento bot intelligenti. Queste soluzioni sfruttano il machine learning e l’analisi comportamentale per individuare i bot in base alle loro caratteristiche uniche. Concentrandosi sul comportamento assimilabile a quello di un utente reale, invece di affidarsi a indirizzi IP o CAPTCHA, è possibile rilevare e bloccare gli attacchi bot sofisticati.
Navigare il rischio: trovare il giusto equilibrio nella difesa contro i bot
In definitiva, il livello di difesa contro i bot che un’organizzazione decide di adottare dipende dalla sua propensione al rischio. Ogni azienda deve valutare costi e benefici delle diverse strategie di mitigazione e stabilire il livello di rischio che è disposta ad accettare.
Eliminare completamente il traffico bot potrebbe non essere fattibile, o nemmeno auspicabile, visto che alcune attività automatizzate sono legittime e utili. Tuttavia, ignorare le attività malevole dei bot può comportare perdite finanziarie significative, danni reputazionali e frustrazione per i clienti.
La chiave è trovare il giusto equilibrio. Comprendendo i diversi tipi di bot che prendono di mira la propria organizzazione, valutando l’impatto potenziale delle loro attività e implementando misure adeguate di rilevamento e mitigazione, è possibile gestire efficacemente il rischio bot e proteggere la propria azienda, e i propri clienti, dalle minacce persistenti automatizzate.
di David Warburton, Director, F5 Labs
