Dati Rubati Nel Dark Web: Cosa Le Aziende Devono Sapere Sul Breach Monitoring

Oltre 24 miliardi di credenziali rubate circolano nel dark web — e la tendenza e’ in crescita. Quando un’azienda viene violata, spesso bastano poche ore prima che i dati sottratti vengano messi in vendita su marketplace, in canali Telegram o su paste site. Per l’organizzazione colpita inizia una corsa contro il tempo: le credenziali verranno reimpostate per prime o sfruttate per prime?

Cosa viene scambiato nel dark web

I dati rubati hanno un valore di mercato concreto. I prezzi variano in base alla qualita’ e all’attualita’:

Singole credenziali di accesso (e-mail + password): CHF 5-20 per record, di piu’ per violazioni recenti
Fullz (pacchetti d’identita’ completi) con nome, indirizzo, data di nascita, numero SSN/AVS: CHF 50-200
Accessi VPN o RDP aziendali: CHF 500-5’000+, in base alle dimensioni dell’azienda e al settore
Dati di carte di credito con CVV: CHF 10-50 per carta
Cookie di sessione e token API: prezzo molto variabile, particolarmente preziosi per i servizi cloud

Particolarmente redditizi sono i cosiddetti Initial Access Broker, che rivendono accessi aziendali a gruppi ransomware. Un accesso VPN funzionante a un’azienda di medie dimensioni puo’ costituire il punto di partenza per danni milionari.

Come i dati aziendali finiscono nel dark web

Le vie piu’ comuni sono note — eppure sottovalutate:

Malware di tipo infostealer: trojan come RedLine, Raccoon o Lumma estraggono password salvate, cookie di sessione e dati di compilazione automatica direttamente dal browser. Un singolo PC aziendale infettato puo’ fornire decine di credenziali.
Phishing: nonostante tutte le formazioni, il phishing resta il vettore di attacco iniziale piu’ efficace. I kit di phishing moderni replicano le pagine di login in modo identico e intercettano le credenziali insieme ai token MFA.
Violazioni di fornitori terzi: i collaboratori utilizzano gli indirizzi e-mail aziendali per servizi esterni. Se uno di questi servizi viene compromesso, le credenziali sono esposte — e spesso identiche alle password aziendali.
Grandi dump di database: compilazioni come COMB (Compilation of Many Breaches) raggruppano miliardi di record piu’ datati. Chi riutilizza le password resta a rischio anche anni dopo la violazione originale.

Secondo l’IBM X-Force Threat Intelligence Index, le credenziali rubate rappresentano il vettore di accesso iniziale piu’ comune negli attacchi informatici — prima del phishing e dello sfruttamento di vulnerabilita’. Questo rende il furto di credenziali il fulcro delle moderne catene di attacco.

Cosa offre il breach monitoring

Il breach monitoring perlustra sistematicamente i luoghi in cui emergono i dati rubati: marketplace del dark web, forum clandestini, paste site, canali Telegram e dump di database pubblici. Non appena viene trovato un indirizzo e-mail, un nome di dominio o delle credenziali dell’azienda, viene emesso un allarme.

Il vantaggio decisivo: agire in modo proattivo anziche’ reattivo. Quando il team di sicurezza viene a sapere che le credenziali di un collaboratore sono apparse nel dark web, puo’ reimpostare la password e mettere in sicurezza l’account — prima che un aggressore utilizzi quei dati per accedere ai sistemi aziendali.

Senza monitoraggio, le organizzazioni vengono tipicamente a conoscenza delle credenziali compromesse solo quando il danno si e’ gia’ verificato: tramite accessi non autorizzati, perdita di dati o cifratura ransomware.

Una soluzione che fornisce questo monitoraggio in modo automatizzato e’ ExposIQ. ExposIQ perlustra in modo mirato le fonti del dark web alla ricerca di password trapelate e credenziali compromesse delle organizzazioni, fornendo risultati utilizzabili sulla base dei quali e’ possibile agire immediatamente.

Misure di protezione concrete

Il breach monitoring da solo non basta. Serve l’interazione di diverse misure:

Implementare il breach monitoring: monitoraggio continuo dei domini aziendali e degli indirizzi e-mail per verificare l’esposizione nel dark web. Servizi come ExposIQ automatizzano questo processo e forniscono alert tempestivi.
Imporre password univoche: distribuire un enterprise password manager (ad es. Bitwarden, 1Password Business). Ogni servizio riceve una propria password generata casualmente. Questo elimina il riutilizzo delle credenziali e garantisce che una singola violazione resti isolata.
Attivare la MFA su tutti gli account: dare priorita’ a FIDO2/Passkey per i sistemi critici, come minimo autenticazione TOTP basata su app per tutto il resto. MFA basata su SMS solo come ultima risorsa assoluta.
Rilevare il credential stuffing: analizzare i log di autenticazione per individuare pattern — numerosi tentativi di accesso falliti con nomi utente diversi da pochi indirizzi IP indicano attacchi automatizzati con credenziali rubate.
Piano di incident response per le compromissioni di credenziali: procedure definite per il caso in cui le credenziali dei collaboratori compaiano nel dark web: reset immediato della password, invalidazione della sessione, verifica di accessi non autorizzati, analisi forense in caso di sospetta infezione da infostealer.

Il fattore tempo

Europol afferma ripetutamente nell’Internet Organised Crime Threat Assessment (IOCTA) che i dati rubati vengono monetizzati entro ore o pochi giorni da una violazione. L’Ufficio federale della cibersicurezza (UFCS) conferma che gli attacchi basati sulle credenziali sono tra le minacce piu’ frequenti anche per le PMI svizzere. E le statistiche di Have I Been Pwned mostrano: oltre 14 miliardi di account sono contenuti in violazioni documentate — molti dei quali con password riutilizzate.

Chi non monitora attivamente se i propri dati aziendali circolano nel dark web sta volando alla cieca.

Come Zerberos puo’ aiutare

Zerberos offre penetration testing, valutazioni di social engineering e risk assessment per valutare la resilienza della Sua organizzazione contro gli attacchi basati sulle credenziali. Simuliamo scenari di attacco realistici — dalle campagne di phishing al credential stuffing fino allo sfruttamento di credenziali trapelate — e indichiamo con precisione dove e’ necessario intervenire.

Per il monitoraggio continuo raccomandiamo ExposIQ come soluzione di breach monitoring che verifica costantemente la presenza di credenziali esposte della Sua organizzazione nel dark web.

Contatto: www.zerberos.com/kontakt

Fonti

IBM X-Force Threat Intelligence Index 2024: ibm.com/reports/threat-intelligence
Europol IOCTA 2024: europol.europa.eu
Ufficio federale della cibersicurezza (UFCS) — Rapporto semestrale: ncsc.admin.ch
Have I Been Pwned — Breach Statistics: haveibeenpwned.com
ExposIQ — Breach Monitoring: exposiq.ch

Cosa viene scambiato nel dark web

Come i dati aziendali finiscono nel dark web

Cosa offre il breach monitoring

Misure di protezione concrete

Il fattore tempo

Come Zerberos puo’ aiutare

Fonti

EU Cyber Resilience Act: Was Schweizer Unternehmen ab September 2026 beachten müssen

Lieferkettenangriffe 2026: Wenn Ihr IT-Dienstleister zum Sicherheitsrisiko wird

DarkSword iOS Exploit Kit: cosa può fare, cosa no – e perché non è un jailbreak

Sorveglianza con l’IA: Palantir, Pegasus e i confini della legalità

EU Cyber Resilience Act: Was Schweizer Unternehmen ab September 2026 beachten müssen

Lieferkettenangriffe 2026: Wenn Ihr IT-Dienstleister zum Sicherheitsrisiko wird

DarkSword iOS Exploit Kit: cosa può fare, cosa no – e perché non è un jailbreak

Dati rubati nel dark web: Cosa le aziende devono sapere sul breach monitoring

Cosa viene scambiato nel dark web

Come i dati aziendali finiscono nel dark web

Cosa offre il breach monitoring

Misure di protezione concrete

Il fattore tempo

Come Zerberos puo’ aiutare

Fonti