Quando cadi vittima di un attacco di phishing e inserisci i tuoi dati in un sito truffaldino, potrebbe sembrare che il danno sia limitato e immediato. La realtà è molto più complessa e preoccupante. I tuoi dati non scompaiono dopo il furto iniziale: entrano invece in un enorme mercato illegale dove circolano per anni, passando di mano in mano e trovando impiego in nuovi attacchi sofisticati. Comprendere questo percorso è essenziale per proteggere veramente la tua identità digitale.
La soluzione rapida: se hai subito un attacco di phishing, blocca immediatamente le carte bancarie compromesse, cambia tutte le password degli account importanti e abilita l’autenticazione a due fattori (2FA). Continua a leggere per capire come difenderti completamente.
Come i phisher raccolgono i tuoi dati
I siti di phishing sono progettati con straordinaria cura per apparire legittimi. Layout, interfaccia utente e persino il dominio possono essere quasi indistinguibili da quelli reali. Gli aggressori utilizzano moduli HTML che richiedono credenziali di accesso, dettagli delle carte di pagamento o altre informazioni riservate.
Non appena premi “Accedi” o “Paga”, le informazioni vengono immediatamente inviate ai criminali informatici. Alcune campagne non raccolgono dati direttamente tramite siti truffaldini, ma abusano di servizi legittimi come Google Moduli per nascondere il server di destinazione finale, rendendo il tracciamento ancora più difficile.
I dati rubati vengono trasmessi principalmente in tre modi:
– Email: metodo meno comune oggi a causa di possibili ritardi o blocchi
– Bot di Telegram: gli autori ricevono le informazioni istantaneamente, con bot usa e getta difficili da rintracciare
– Pannelli di amministrazione: software specializzato che raccoglie, ordina e valida automaticamente i dati
Quali dati cercano veramente i phisher
La gamma di informazioni ricercate dai criminali è sorprendentemente ampia:
Dati personali: numeri di telefono, nomi completi, email, indirizzi. Queste informazioni permettono attacchi mirati perché i criminali possono rivolgersi alle vittime per nome, sapendo dove vivono e quali servizi utilizzano.
Documenti: scansioni di tessere di previdenza sociale, patenti di guida, assicurazioni, codice fiscale. I criminali usano questi per furti di identità, richieste di prestiti e accesso a portali bancari o statali.
Credenziali: accessi, password e codici 2FA monouso che permettono accesso diretto agli account.
Dati biometrici: scansioni di volti, impronte digitali e campioni vocali utilizzati per generare deepfake o aggirare l’autenticazione a due fattori.
Dettagli di pagamento: dati di carte bancarie e wallet di criptovalute.
Secondo le ricerche più recenti, l’88,5% degli attacchi di phishing tra gennaio e settembre 2025 ha preso di mira le credenziali di account online, il 9,5% ha cercato dati personali e solo il 2% si è concentrato sul furto di dati bancari.
Il percorso dei tuoi dati nel mercato nero
I dati rubati raramente vengono utilizzati immediatamente dai criminali. Invece, intraprendono un percorso complesso nel mercato illegale:
Fase 1: Vendita in blocco
I set di dati grezzi vengono raggruppati in enormi archivi e offerti in blocco nei forum del Dark Web. Questi archivi spesso contengono informazioni obsolete o non verificate, per cui sono venduti a prezzi relativamente bassi, a partire da circa 50 dollari.
Fase 2: Riordino e verifica
Gli hacker che operano come analisti acquistano questi archivi e li classificano, verificando se le credenziali funzionano, se vengono riusate in altri siti e se corrispondono a violazioni precedenti. Per attacchi mirati, compilano dossier digitali contenenti informazioni da attacchi recenti e meno recenti.
Fase 3: Rivendita a prezzo maggiore
I dati riordinati e verificati vengono rivenduti a prezzi molto più elevati, non solo nel Dark Web ma anche su Telegram. I prezzi variano significativamente in base al tipo di account:
– Piattaforme di criptovaluta: 60-400 dollari (media 105)
– Banche: 70-2000 dollari (media 350)
– Portali di enti statali: 15-2000 dollari (media 82,50)
– Social media: 0,40-279 dollari (media 3)
– App di messaggistica: 0,065-150 dollari (media 2,50)
– Negozi online: 10-50 dollari (media 20)
– Giochi e piattaforme di gioco: 1-50 dollari (media 6)
– Documenti personali: 0,50-125 dollari (media 15)
I fattori che determinano il prezzo includono l’età dell’account, la presenza di autenticazione 2FA, le carte bancarie collegate e la dimensione del bacino di utenza del servizio.
Fase 4: Ripetizione degli attacchi
Una volta che un criminale acquista il dossier digitale di una vittima, può pianificare attacchi sofisticati. Potrebbe creare email convincenti impersonando il capo della vittima, hackerare profili social media per estorcere denaro, o inviare ulteriori email di phishing ai contatti della vittima. Quando ricevi messaggi sospetti che chiedono di votare, prestare denaro o cliccare su link strani, hai tutte le ragioni per diffidare.
Cosa fare se sei stato vittima di phishing
Azioni immediate:
- Blocca le carte: Se hai fornito dettagli di carte di pagamento, chiama immediatamente la banca e fai bloccare la carta
- Cambia le password: Se hai usato credenziali compromesse anche in altri account, modificale immediatamente. Usa un gestore di password per creare password complesse
- Abilita 2FA: Attiva l’autenticazione a due fattori su tutti gli account importanti. Preferisci app di autenticazione agli SMS, poiché i codici via SMS possono essere intercettati
- Controlla le sessioni attive: Accedi agli account importanti e verifica quali dispositivi sono connessi. Se vedi dispositivi o indirizzi IP sconosciuti, interrompi immediatamente quelle sessioni
Come proteggerti dal phishing
Pratiche di sicurezza essenziali:
– Non cliccare su link nelle email o messaggi senza prima scansionarli con una soluzione di sicurezza
– Verifica sempre l’indirizzo del mittente e confronta il dominio email con il sito Web ufficiale
– Le fonti aziendali legittime non usano mai servizi di posta gratuiti
– Usa un’app di autenticazione a due fattori
– Crea password uniche e complesse per ogni account (gli hacker possono decifrare il 60% delle password globali in meno di un’ora)
– Non riutilizzare mai la stessa password su più servizi
– Usa un gestore di password per generare, memorizzare e sincronizzare password complesse
Technical Deep Dive: Architettura del mercato nero delle credenziali
Per gli utenti con conoscenze tecniche, è importante comprendere l’architettura sofisticata che supporta il commercio illegale di dati.
Infrastruttura di distribuzione
I criminali utilizzano una combinazione di forum Dark Web (accessibili via Tor), canali Telegram dedicati e marketplace criptati. L’uso di Telegram è particolarmente significativo perché offre pseudonimato relativo e velocità di transazione, con bot che automatizzano completamente il processo di vendita.
Tecnologie di verifica automatica
Gli analisti di dati utilizzano script personalizzati che verificano automaticamente le credenziali testando l’accesso ai servizi target, controllando i cookie di sessione, analizzando i dati di navigazione e confrontando con database di violazioni precedenti. Questi script, spesso scritti in Python o Go, integrano API pubbliche e private per la validazione.
Malware infostealer
Oltre al phishing, i criminali utilizzano malware specializzati (infostealer) che si infiltrano nei dispositivi attraverso download non autorizzati, estensioni browser compromesse o applicazioni modificate. Questi software raccolgono silenziosamente credenziali, dati di navigazione, cookie di sessione e informazioni di wallet di criptovalute, alimentando continuamente il mercato nero.
Modelli Malware-as-a-Service (MaaS)
Gruppi criminali avanzati offrono infostealer in abbonamento, sviluppando versioni esclusive da utilizzare in combinazione con altri strumenti malevoli. Alcuni gruppi, come quelli collegati alla botnet Sality, mantengono versioni proprietarie mai rivendute.
Doppia estorsione e leak site
Gli operatori di ransomware hanno implementato “leak site” nel Dark Web dove pubblicano dati rubati con countdown per il pagamento del riscatto. Anche se il riscatto non viene pagato, i dati vengono pubblicati “a piccole dosi” per massimizzare il valore nel mercato nero e incentivare futuri pagamenti.
Monitoraggio della cyber intelligence
A livello aziendale, la difesa richiede collaborazione con esperti di cyber intelligence capaci di individuare violazioni in tempi rapidi, monitorare minacce emergenti e intervenire tempestivamente. Il monitoraggio del Dark Web e dei canali Telegram è diventato essenziale per identificare se le proprie credenziali sono state compromesse.
