Comprendere l'Attack-as-a-Service: il oscuro ecosistema che alimenta la frode d'identità

La democratizzazione degli attacchi informatici è una tendenza preoccupante. Tecnologie e metodologie che un tempo erano appannaggio di soggetti altamente qualificati sono diventate accessibili a quasi chiunque abbia competenze tecniche minime e la capacità di navigare nei mercati del dark web. Questa trasformazione è particolarmente evidente negli attacchi di verifica dell'identità, dove l'ascesa di questi servizi ha modificato radicalmente il panorama delle minacce.

Questo articolo esplora come Attack-as-a-Service (AaaS) ha trasformato la frode d'identità, rivela il funzionamento interno di questo ecosistema criminale e fornisce informazioni essenziali per aiutare le organizzazioni a proteggersi da questa minaccia in continua evoluzione.

Che cos'è l'Attack-as-a-Service?

L'Attack-as-a-Service rappresenta la commercializzazione e la democratizzazione delle capacità di attacco informatico. Proprio come le offerte legittime di Software-as-a-Service (SaaS), queste piattaforme forniscono strumenti già pronti, infrastrutture e persino assistenza clienti per l'esecuzione di sofisticate tecniche di attacco, disponibili per l'acquisto o tramite abbonamento.

Nel contesto degli attacchi di verifica dell'identità, il nostro rapporto sulle minacce informatiche rivela un fiorente ecosistema di comunità che prendono di mira specificamente i sistemi di verifica dell'identità a distanza. Questi gruppi si sono evoluti da forum isolati che condividevano tecniche di base a sofisticati mercati che offrono soluzioni di attacco complete.

Piuttosto che vendere semplici strumenti software, molti fornitori offrono ora servizi end-to-end, occupandosi di tutti gli aspetti tecnici della creazione di bypass di verifica. I clienti possono acquistare questi servizi in due modi principali:

• Basato sui servizi: Pagamento per servizi tecnici specifici (come l'elaborazione di foto in scambi di volti)
• Basato sul volume: acquisto di un numero prestabilito di account o identità pre-verificati e pronti all'uso.

Una persona potrebbe pagare per la creazione di un deepfake specifico, mentre un'altra acquisterà alcuni account integrati. Questo modello di business offre vantaggi significativi agli autori delle minacce, tra cui una minore esposizione al monitoraggio della sicurezza, il controllo delle tecniche proprietarie e relazioni transazionali sicure con altri truffatori.

Comprendere il panorama più ampio del Crime-as-a-Service

L'Attack-as-a-Service per l'aggiramento della verifica dell'identità è un sottoinsieme specializzato all'interno del più ampio ecosistema Crime-as-a-Service (CaaS). Mentre questi servizi si concentrano sull'aggiramento dei sistemi di verifica dell'identità, il panorama più ampio del CaaS copre una vasta gamma di attività criminali, dal furto di credenziali e riciclaggio di denaro alla falsificazione di documenti e altri crimini informatici. 

Questa interconnessione consente ai criminali di combinare diversi servizi per eseguire operazioni fraudolente in più fasi. In particolare, il nostro Rapporto sulle minacce informatiche evidenzia una tendenza preoccupante: gruppi regionali precedentemente isolati stanno ora collaborando a livello transfrontaliero, rispecchiando la struttura globale delle reti commerciali legittime.

L'ecosistema in crescita: i numeri

Il Centro operativo di sicurezza informatica (iSOC) di iProov Security Operations Center (iSOC) ha identificato 31 nuovi gruppi di minacce online solo nel 2024, portando il numero totale di comunità monitorate a un livello allarmante. 

La portata di questo ecosistema è notevole:

• Il 45% di questi gruppi sviluppa e vende i propri strumenti di attacco
• 55% concentrazione sulla rivendita o sulla fornitura di servizi correlati
• L'ecosistema comprende 34.965 utenti totali
• I venditori di utensili attraggono la maggioranza (68%) degli utenti, servendo 23.698 persone
• Nove gruppi hanno oltre 1.500 utenti, il più grande dei quali raggiunge 6.400 membri

Queste comunità non stanno solo crescendo in termini di dimensioni, ma stanno diventando sempre più sofisticate e specializzate. Le discussioni più comuni vertono su tecniche quali metodi di bypass KYC, l'uso della tecnologia deepfake per identità sintetiche, e strumenti specifici per le piattaforme. 

Il menu del servizio antifrode: cosa offre

I servizi disponibili attraverso questi mercati si sono evoluti ben oltre i semplici strumenti. Le offerte attuali monitorate da iProov includono:

1. Strumenti tecnici e infrastrutture

• Applicazioni di scambio volti: Oltre 130 monitorate da iProov, e il numero è in crescita
• Software per fotocamera virtuale: Oltre 90 strumenti
• Emulatori mobili: Comprese funzionalità di spoofing della posizione
• Strumenti per la manipolazione dei metadati

2. Servizi operativi

• ID farming: Generazione e convalida di identità sintetiche (per saperne di più sulla recente importante operazione di identity farming nel dark web scoperta da iProov qui)
• Conti di scambio di criptovalute o strumenti di bypass KYC (per saperne di più, consulta il nostro nuovo eBook sulle criptovalute)
• Tutorial passo passo: Per aggirare specifici sistemi di verifica. I malintenzionati vendono le "ricette" per prendere di mira la tua organizzazione e le tue piattaforme.
• Servizi di sviluppo personalizzati: Su misura per organizzazioni specifiche

3. Metodologie di attacco avanzate

• Tecniche di bypass della verifica KYC: Sfruttare le vulnerabilità nei controlli di identità (maggiori informazioni sulla verifica dell'identità)
• Servizi di creazione di deepfake: Abbassano pericolosamente la barriera di accesso per deepfake sofisticati, spesso utilizzati per eludere i controlli di autenticità statici (ma inefficaci contro soluzioni avanzate come quelli dinamici).
• Conversione da immagine a video: Per generare identità sintetiche
• Catene di attacchi combinati: Progettate per specifici istituti finanziari

4. Condivisione delle informazioni

• Informazioni sulla vulnerabilità: Approfondimenti sui sistemi vulnerabili
• Metodologie di attacco efficaci: Documentate e condivise all'interno della comunità
• Elenchi di obiettivi: Evidenziazione dei sistemi con meccanismi di verifica deboli
• Aggiornamenti in tempo reale: Avvisi relativi alle modifiche delle misure di sicurezza

Cosa alimenta l'economia sommersa digitale?

Ciò che rende queste comunità particolarmente pericolose è il loro modello di business efficiente, simile a quello di un'impresa. Mantengono la loro reputazione, offrono assistenza ai clienti e perfezionano continuamente i loro servizi sulla base del feedback degli utenti.

Secondo i dati della FTC, le frodi legate all'identità generano perdite annuali per miliardi di dollari (si stima che 8,8 miliardi di dollari nel 2023 secondo i dati della FTC), anche una piccola fetta di questi proventi crea un mercato redditizio per gli sviluppatori di strumenti di attacco. Questo incentivo finanziario stimola la continua innovazione, specializzazione e collaborazione all'interno dell'ecosistema.

Modelli di targeting attuali

Il targeting è strategico e basato sull'intelligence. Gli operatori degli attacchi analizzano attivamente i sistemi di verifica e condividono informazioni su quali siano i più vulnerabili.

I sistemi che respingono efficacemente gli attacchi acquisiscono rapidamente la reputazione di essere obiettivi difficili, spingendo gli autori delle minacce a spostare la loro attenzione altrove. Questo "paradosso del basso tasso di attacchi" significa che i sistemi più sicuri sono spesso quelli che subiscono il minor numero di attacchi.

L'effetto democratizzazione

Forse l'aspetto più preoccupante di questo fenomeno è il suo ruolo nell'abbassare la barriera tecnica all'ingresso, qualcosa contro cui abbiamo messo in guardia nelle precedenti edizioni dei nostri rapporti sull'intelligence delle minacce. Individui con conoscenze tecniche minime possono ora eseguire attacchi sofisticati che un tempo richiedevano una profonda competenza. Ciò ha diverse implicazioni:

• Aumento del volume degli attacchi: un numero maggiore di potenziali aggressori porta a tentativi più frequenti.
• Gamma di obiettivi più ampia: Le organizzazioni precedentemente considerate a basso rischio ora devono affrontare minacce sofisticate.
• Sfruttamento più rapido: Le nuove vulnerabilità vengono rapidamente commercializzate e sfruttate.
• Modelli imprevedibili: Gli operatori meno esperti potrebbero inavvertitamente utilizzare gli strumenti in modi innovativi che aggirano i metodi di rilevamento tradizionali.

Difendersi da queste minacce

Per contrastare questa minaccia emergente è necessario un cambiamento radicale nella strategia di sicurezza. Le difese statiche tradizionali e gli aggiornamenti periodici non sono più sufficienti. Le organizzazioni devono adottare:

• Monitoraggio continuo: Implementazione di funzionalità di rilevamento e risposta in tempo reale come parte di una strategia di sicurezza globale. Per approfondimenti sulla sicurezza biometrica continua e adattiva, vedere qui.
• Misure di sicurezza adattive: Sviluppo di difese che evolvono parallelamente alle minacce emergenti.
• Integrazione delle informazioni sulle minacce: Monitoraggio attivo delle tendenze e delle comunità di autori delle minacce, come descritto in dettaglio nel nostro Rapporto sulle informazioni relative alle minacce.
• Verifica multistrato: Implementazione di sistemi che convalidano la vitalità dinamica, non solo prove statiche di vitalità (scopri di più sulla nostra tecnologia di vitalità dinamica).

Considerazioni finali sull'ecosistema Attack-as-a-Service

L'ecosistema che supporta questi servizi di attacco non mostra segni di rallentamento. Con il progresso delle tecnologie AI legittime, aumenterà anche la sofisticazione delle capacità di attacco.

La rapida commercializzazione di queste tecnologie comporta che le nuove innovazioni vengano rapidamente confezionate e distribuite. Le organizzazioni devono quindi prepararsi non solo all'inevitabilità di tali attacchi, ma anche alla loro crescente agilità e velocità di evoluzione.

Il successo dipenderà dal monitoraggio continuo, dalla risposta in tempo reale e dalle misure di sicurezza che si evolvono con la stessa rapidità con cui si evolve il panorama delle minacce.

• Scarica il rapporto completo di iProov Rapporto 2025 sulle minacce informatiche per un'analisi completa di questo ecosistema e raccomandazioni dettagliate per proteggere la tua organizzazione.
• Prenota una demo con iProov oggi stesso per scoprire come la nostra tecnologia dinamica di verifica della vitalità può aiutare a proteggere la tua organizzazione dalla crescente ondata di minacce avanzate.