Sommario
Le campagne di social engineering attribuite a gruppi affiliati al governo russo stanno ridefinendo le strategie di attacco contro le infrastrutture digitali più critiche, puntando su obiettivi ad alto valore come giornalisti, attivisti, diplomatici e ONG. La nuova ondata di attacchi individuata da Citizen Lab si concentra sull’ottenimento delle app-specific password di Google e Apple, sfruttando il diffondersi di sistemi di autenticazione forte e le lacune nell’awareness degli utenti sulle modalità di gestione di queste credenziali speciali. L’interesse degli attori russi verso questo tipo di password si spiega con la loro capacità di aggirare i controlli di secondo fattore e consentire accessi silenziosi ai servizi più sensibili – email, messaggistica, archivi cloud – senza dover compromettere la password principale o generare allarmi immediati nei sistemi di monitoraggio delle grandi piattaforme.
L’evoluzione delle tecniche di phishing: targeting, personalizzazione e simulazione di comunicazioni ufficiali
Il cuore delle nuove campagne russe di phishing si fonda sulla personalizzazione avanzata degli attacchi. I messaggi indirizzati alle vittime riproducono con grande fedeltà la grafica, il linguaggio e la struttura delle email autentiche di Google e Apple, sfruttando informazioni raccolte tramite open source intelligence e data breach precedenti. L’obiettivo consiste nell’indurre la vittima a generare e fornire una nuova app-specific password, spesso con pretesti come l’imminente disattivazione dell’account, la richiesta di aggiornamento di sicurezza o l’integrazione con nuove app. Queste password, destinate originariamente solo a software o servizi di terze parti (ad esempio client di posta, software di backup, gestori di note), possono essere utilizzate per accedere senza ostacoli ai dati custoditi nell’account della vittima, superando tutte le barriere poste dal secondo fattore.
Il phishing viene veicolato principalmente via email, ma sono stati documentati anche tentativi tramite SMS, piattaforme di messaggistica istantanea e social network. Le vittime vengono selezionate per il loro profilo pubblico, la loro attività professionale o la posizione geopolitica, con particolare insistenza su chi opera in Russia, paesi confinanti o all’interno di network internazionali di informazione e advocacy.
Implicazioni e impatti delle compromissioni tramite app-specific password
L’impatto di un attacco che ha successo nell’ottenere una app-specific password può essere devastante. Una volta in possesso della password generata, l’attaccante accede ai servizi con i privilegi dell’utente, aggira i controlli del secondo fattore, scarica dati, monitora la corrispondenza e può perfino modificare impostazioni o inviare comunicazioni a nome della vittima. In molti casi, queste compromissioni passano inosservate per giorni o settimane, consentendo il furto sistematico di informazioni sensibili, documenti riservati e strategie di comunicazione, con potenziali ricadute sulla sicurezza personale, la libertà di stampa e la tutela dei diritti umani.
Citizen Lab evidenzia come le campagne abbiano colpito decine di soggetti di rilievo internazionale, tra cui ONG, staff diplomatico, giornalisti investigativi e attivisti legati a movimenti di opposizione o a progetti di documentazione di abusi e violazioni. L’utilizzo delle app-specific password si rivela particolarmente subdolo perché, a differenza dei tradizionali tentativi di compromissione delle password principali, non viene quasi mai notificato dagli strumenti di alert e non obbliga la vittima a riconfigurare la sicurezza dell’account.
Strategie di difesa: consapevolezza, autenticazione evoluta e monitoraggio
Per rispondere efficacemente a questa minaccia, occorre rafforzare la formazione degli utenti su cosa siano realmente le app-specific password e su quando sia legittimo generarle o condividerle. È fondamentale evitare di fornire queste credenziali a chiunque, specialmente se la richiesta arriva tramite canali non verificati. Gli amministratori dovrebbero implementare controlli e auditing sulle richieste di generazione di nuove password applicative e promuovere l’adozione di metodi di autenticazione avanzata come passkey e chiavi hardware resistenti al phishing.
Le piattaforme dovrebbero investire nello sviluppo di algoritmi di anomaly detection capaci di identificare accessi anomali, provenienti da nuove app o servizi non autorizzati, e attivare procedure di alert e revoca immediata delle password sospette. Anche il monitoraggio degli accessi, la verifica costante dei log di sicurezza e l’attivazione di notifiche sulle nuove integrazioni di app sono strumenti essenziali per contrastare gli attacchi più sofisticati.
Le campagne russe di social engineering orientate alle app-specific password rappresentano una nuova frontiera nella guerra delle credenziali digitali. Il superamento delle protezioni tradizionali e l’uso di vettori di attacco poco sorvegliati impongono alle organizzazioni e agli individui a rischio una revisione delle strategie di difesa. Solo attraverso l’adozione di strumenti di autenticazione evoluti, formazione continua e monitoraggio proattivo si può garantire la resilienza delle infrastrutture critiche e la protezione delle identità digitali in scenari geopolitici ad alta tensione.
