Attacco come servizio
Il termine "Attack-as-a-Service" si riferisce a un modello di business in cui gli attori delle minacce offrono servizi specializzati per aggirare i sistemi di verifica dell'identità a distanza, piuttosto che vendere gli strumenti di attacco stessi.
In questo modello:
- Invece di vendere strumenti software, gli attori delle minacce forniscono servizi end-to-end in cui gestiscono gli aspetti tecnici della creazione di bypass di verifica.
- I clienti possono acquistare in due modi principali:
- Basati sui servizi: Pagamento di servizi tecnici specifici (come l'elaborazione di foto per ottenere scambi di volti convincenti).
- Basato sui volumi: Acquisto di un numero prestabilito di account o identità pre-verificati e pronti all'uso.
- Il processo tipico prevede che i clienti inviino le foto e il pagamento al fornitore del servizio, che poi crea i materiali bypass richiesti e restituisce il prodotto finito.
"Di recente, i gruppi che si occupano di minacce non mettono più in vendita il software in sé, ma offrono un servizio in cui l'utente interessato paga per l'elaborazione di un'immagine o per un certo numero di account. Hanno diverse specialità o boutique a cui il cliente può rivolgersi per soddisfare la richiesta". - Matt Welch, responsabile dell'intelligence sulle minacce, iProov.
Questo modello di business offre diversi vantaggi agli attori delle minacce:
- Li protegge dal monitoraggio della sicurezza, poiché non distribuiscono i loro strumenti reali.
- Mantiene il controllo delle sue tecniche e dei suoi metodi proprietari.
- Si crea un rapporto transazionale più sicuro piuttosto che la vendita di strumenti che potrebbero essere analizzati dai ricercatori di sicurezza.
- Ciò consente loro di specializzarsi in lavori tecnici complessi, mentre i clienti si concentrano sull'utilizzo dei risultati finali.
Questa evoluzione riflette la maturazione di un ecosistema criminale in cui il bypass per la verifica dell'identità a distanza è diventato un servizio specializzato all'interno del più ampio panorama del "Crime-as-a-Service". Proprio come le aziende legittime utilizzano il Software-as-a-Service per accedere a funzionalità specializzate senza svilupparle internamente, i criminali ora acquistano competenze specifiche piuttosto che padroneggiare autonomamente abilità tecniche complesse.
In questo mercato di Crime-as-a-Service, diversi gruppi si specializzano in aree distinte: alcuni si concentrano esclusivamente sull'aggiramento della verifica dell'identità a distanza (che è la componente Attack-as-a-Service), mentre altri si concentrano sul furto di credenziali o sul riciclaggio di denaro. I criminali possono quindi combinare questi servizi specializzati per eseguire sofisticate operazioni di frode in più fasi.
Il 2025 Threat Intelligence Report evidenzia uno sviluppo significativo in questo settore: gruppi criminali regionali precedentemente isolati stanno ora collaborando e condividendo tecniche a livello transfrontaliero. Questa impollinazione incrociata di competenze imita il modo in cui i mercati commerciali legittimi si evolvono naturalmente da operazioni regionali a reti globali, rendendo il panorama delle minacce più sofisticato e difficile da combattere.
| Caratteristica | Attacco come servizio (bypass della verifica dell'identità) | Crimini più ampi come servizio |
|---|---|---|
| Definizione | Servizi specializzati per aggirare i sistemi di verifica a distanza dell'identità | Un ecosistema criminale completo in cui vari servizi e attività illegali sono offerti su richiesta attraverso domini fisici e digitali. |
| Ambito di applicazione | Si concentra sulle tecniche di aggiramento della verifica dell'identità. | Copre l'intero spettro delle attività criminali, tra cui il traffico di droga, il traffico di esseri umani, la violenza contrattuale, la falsificazione di documenti, il riciclaggio di denaro, il contrabbando e la criminalità informatica. |
| Esempi di servizio | Elaborazione di face swap, creazione di identità sintetiche, fornitura di conti pre-verificati, elaborazione di documenti d'identità. | Reti di produzione e distribuzione di droga, operazioni di traffico di esseri umani, servizi di falsificazione di documenti, violenza contrattuale, servizi di riciclaggio di denaro, reti di contrabbando, vari servizi di cybercriminalità |
| Specializzazione | Altamente specializzato con una profonda esperienza nei sistemi di verifica dell'identità a distanza | Molteplici specializzazioni che coprono diverse attività criminali nei domini fisici e digitali |
| Integrazione | Funziona come un componente all'interno del più ampio ecosistema Crime-as-a-Service. | Funge da quadro generale del mercato per i servizi penali di tutti i tipi. |
| Clienti target | Coloro che cercano specificamente di commettere frodi di identità o di accedere a sistemi riservati | Un'ampia gamma di criminali con obiettivi diversi in diversi ambiti criminali. |
| Modello di business | Servizi di elaborazione per esigenze specifiche di bypass, vendite di identità/conti basate sui volumi | Varia a seconda del dominio criminale: include tariffe di servizio, strutture di commissione, modelli di abbonamento, accordi territoriali e partecipazione alla catena di fornitura. |
| Competenza tecnica | Si concentra sulla verifica dell'identità a distanza, sui deepfake e sulle tecniche di iniezione. | Le competenze variano ampiamente da quelle altamente tecniche nel campo della criminalità informatica a quelle in operazioni criminali fisiche come il contrabbando o la produzione. |
| L'evoluzione | Specializzazione relativamente recente, in rapida crescita con l'avanzamento dell'IA | Un concetto consolidato da tempo che si è evoluto dalle organizzazioni criminali tradizionali a modelli di business orientati ai servizi. |
| Relazione | Attack-as-a-Service è un sottoinsieme specializzato all'interno dell'ecosistema Crime-as-a-Service. | Crime-as-a-Service è il quadro generale che comprende tutti i tipi di servizi penali. |
La differenziazione in sintesi: Attack-as-a-Service per l'elusione della verifica dell'identità da remoto
Attack-as-a-Service nel contesto dell'IDV remoto si riferisce specificamente a servizi specializzati che aiutano i criminali a bypassare i sistemi di verifica dell'identità utilizzati da banche, servizi governativi, borse di criptovalute e altre organizzazioni che richiedono una prova dell'identità.
Piuttosto che vendere strumenti, questi servizi:
- Elaborazione di foto fornite dai clienti per trasformarle in deepfake convincenti
- Creare identità sintetiche che presumibilmente eludono i controlli di verifica
- Fornire conti pre-verificati pronti per l'uso fraudolento
- Offrire competenze tecniche per aggirare specifici sistemi di verifica
Il processo prevede in genere l'invio di foto e pagamento a specialisti che si occupano del lavoro tecnico di creazione dei materiali di bypass di verifica, per poi fornire il prodotto finito al cliente.
Questo rappresenta solo un servizio specializzato all'interno del ben più ampio ecosistema del Crime-as-a-Service, che comprende diverse attività criminali che vanno dal traffico di droga e dallo sfruttamento umano a varie forme di criminalità informatica, riciclaggio di denaro e operazioni criminali fisiche.
Crime-as-a-Service (CaaS): L'ecosistema più ampio
Il Crime-as-a-Service (CaaS) rappresenta l'evoluzione delle imprese criminali in modelli di business sofisticati che rispecchiano le industrie di servizi legittime, estendendosi ben oltre la criminalità informatica. Questo ecosistema comprende diverse attività illecite in cui fornitori di servizi criminali specializzati offrono le loro competenze, infrastrutture e risorse a clienti che desiderano commettere reati senza sviluppare capacità proprie.
L'ecosistema CaaS abbraccia numerosi ambiti criminali, tra cui le reti di traffico di droga, le operazioni di traffico di esseri umani e di schiavitù moderna, la produzione e la distribuzione di pornografia illegale, i servizi di violenza contrattuale, gli specialisti della falsificazione di documenti, le operazioni di riciclaggio di denaro, le reti di contrabbando, i servizi di criminalità informatica e i mercati di competenze criminali.
Questo modello di servizio ha trasformato le operazioni criminali creando ruoli specializzati all'interno di ecosistemi che imitano le strutture commerciali legittime, con tanto di divisione del lavoro, garanzia di qualità, servizio clienti e persino meccanismi di risoluzione delle controversie. Il modello si è rivelato particolarmente efficace in quanto i diversi gruppi criminali regionali e linguistici hanno iniziato a condividere le tecniche e a collaborare al di là delle frontiere, creando reti globali di servizi criminali.
L'avvento del CaaS ha abbassato in modo significativo le barriere all'ingresso per le attività criminali, consentendo ai clienti di acquistare solo i servizi criminali specifici di cui hanno bisogno senza sviluppare autonomamente capacità complete, rendendo sempre più difficile l'azione di disturbo delle forze dell'ordine.
Per saperne di più sull'ecosistema Attack-as-a-Service:
- Articolo: In che modo i truffatori utilizzano i deepfakes per i crimini come servizio?
- Rapporto: Rapporto sull'intelligence delle minacce 2025: Identità remota sotto attacco
- Comunicato stampa: iProov Threat Intelligence scopre un attore di minacce "Nickel grigio" che prende di mira le piattaforme bancarie, crittografiche e di pagamento