Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Italia Sotto Scacco: 2 milioni di password italiane nell’Amazon del Dark Web

Italia Sotto Scacco: 2 milioni di password italiane nell’Amazon del Dark Web

23 Febbraio 2026 08:04

Nel moderno panorama della cybersecurity, il volto della criminalità informatica è cambiato drasticamente. Non siamo più di fronte solo a singoli hacker isolati, ma a un vero e proprio ecosistema industriale.

Grazie ai dati presenti nella piattaforma di Recorded Future, partner di Red Hot Cyber, abbiamo potuto analizzare da vicino come le credenziali sottratte agli utenti italiani finiscano in vendita su piattaforme che nulla hanno da invidiare ai più noti siti di e-commerce legali.

Advertising

Le immagini allegate mostrano una realtà inquietante: una lista sterminata di database compromessi, pronti per essere acquistati con un semplice clic. Sebbene prima esisteva il mercato Genesis, dopo la sua chiusura, l’ecosistema si è spostato su ulteriori negozi più frammentati, ma altamente efficaci.

Fonte Recorded Future

Il Market del Crimine: Un’Interfaccia per Attacchi “Chiavi in Mano”

Entrando all’interno di questi siti underground (ne abbiamo analizzato uno, che viene realizzato attraverso il concetto di malware as a service, ovvero codice acquistabile da altri criminali che lo manutengono), la prima cosa che colpisce è l’evoluzione dell’interfaccia utente. Come si vede chiaramente nella seconda immagine (del quale non riportiamo esplicitamente il nome), i criminali operano su piattaforme estremamente sofisticate.

C’è tutto quello che ci si aspetterebbe da un negozio online: filtri per paese (in questo caso l’Italia è il bersaglio principale), categorie di prodotti (combo mail:password, database SQL), prezzi chiari e persino il tasto “Buy” o “Bulk Buy” per acquisti massivi.

Non sono solo dati grezzi; sono “prodotti” catalogati con cura, con tanto di data di inserimento e indicazione della qualità (es. “High Validity Rates” o “Private and High Quality”). Questo livello di automazione permette anche a criminali meno esperti di condurre attacchi mirati acquistando pacchetti già pronti all’uso.

Interfaccia utente di un noto mercato underground di log. Tali log, prodotti da infostealer, catalogano con precisione e minuzia la tipologia di credenziali messe in vendita. (Fonte Paragon Sec)

Cosa sono gli Infostealer e come sottraggono i nostri dati

Ma da dove arrivano tutti questi dati? La fonte primaria di questo mercato sono i cosiddetti Infostealer. Si tratta di software malevoli (malware) progettati con un unico scopo: rubare silenziosamente informazioni sensibili dai dispositivi infetti.

Il funzionamento di un infostealer è subdolo:

  • Infezione: Il malware penetra nel computer o nello smartphone tramite e-mail di phishing, software piratato o falsi aggiornamenti.
  • Esfiltrazione: Una volta attivo, l’infostealer setaccia i browser (Chrome, Firefox, Edge) alla ricerca di password salvate, cookie di sessione, dati delle carte di credito e portafogli di criptovalute.
  • Il “Log”: Tutte queste informazioni vengono impacchettate in un file chiamato “log”. Questi log contengono l’intera impronta digitale della vittima, permettendo ai criminali di clonare le sessioni di navigazione e bypassare, in alcuni casi, anche l’autenticazione a due fattori.
AL click sull’interfaccia su “samples”, vengono mostrate le credenziali in chiaro degli utenti, utili per un controllo e verifica dell’attendibilità dei dati compromessi.(Fonte Paragon Sec)

Dai Log agli attacchi successivi: Il ciclo infinito del cyber-crimine

Le immagini che vi proponiamo evidenzianocombo list” che contano centinaia di migliaia di voci (es. 459K entry, 445K entry, tutte relative all’Italia). Questi log alimentano un mercato secondario estremamente pericoloso per diverse ragioni:

  1. Credential Stuffing: I criminali acquistano queste liste e usano bot per testare le stesse combinazioni mail/password su centinaia di altri siti (banche, social media, e-commerce), sfruttando la cattiva abitudine degli utenti di riutilizzare la stessa password.
  2. Accesso Iniziale per Ransomware: Molti di questi account appartengono a dipendenti aziendali. Una singola credenziale VPN o webmail rubata può diventare la porta d’accesso per un intero gruppo criminale che, una volta dentro la rete, può installare un ransomware e bloccare l’intera azienda.
  3. Targeted Phishing: Conoscendo esattamente quali servizi utilizza una vittima, i truffatori possono inviare e-mail di phishing estremamente convincenti, aumentando drasticamente le probabilità di successo.

In conclusione, l’underground criminale non è più un luogo oscuro e caotico, ma una macchina ben oliata dove i nostri dati personali sono la merce di scambio fondamentale. La consapevolezza e l’uso di gestori di password (evitando di salvarle nel browser) e dell’autenticazione forte rimangono le prime, fondamentali linee di difesa.

Sono presenti moltissime tipologie di credenziali che spaziano tra social network fino ad arrivare alle preziose VPN e agli accessi RDP, SSH e CPanel.(Fonte Paragon Sec)

Conclusioni: La Trappola Invisibile e la Difesa Consapevole

Come abbiamo visto, il mercato underground non dorme mai e la “merce” più preziosa siamo noi. Ma come si finisce in questi database criminali? La risposta è più banale di quanto si pensi: gli infostealer non bussano alla porta, si mimetizzano.

La via preferenziale rimane il software piratato: scaricare un “crack” per un programma costoso o un videogioco gratuito da siti non ufficiali è il modo più rapido per installare, insieme al software, anche un ladro silenzioso che svuoterà i cookie e le password del browser in pochi secondi.

Non meno pericolose sono le e-mail di phishing, sempre più sofisticate, che ci spingono a scaricare allegati apparentemente innocui (come finte fatture o solleciti di spedizione) o a cliccare su link malevoli. Rimanere in trappola è estremamente facile perché questi malware agiscono “sotto il cofano”: il computer continua a funzionare normalmente, mentre i nostri dati volano verso i server degli aggressori.

Per non diventare un numero in una delle tabelle di FreshTools Market, la difesa deve essere strutturata su due livelli:

  1. La Barriera Tecnica: È fondamentale avere sulla macchina un antivirus di nuova generazione (EDR/XDR) sempre aggiornato. Non basta più un semplice scanner: serve una protezione capace di analizzare il comportamento dei file in tempo reale e bloccare i tentativi di esfiltrazione dei dati.
  2. La Barriera Culturale: La tecnologia da sola non basta. Oggi, la consapevolezza dei rischi digitali è la vera armatura. Dobbiamo accettare un principio cardine: se usi il digitale, devi conoscerlo. Navigare con leggerezza, ignorando le basi della sicurezza, è come guidare un’auto ad alta velocità senza conoscere il codice della strada o senza allacciare la cintura.

La sicurezza informatica non è più una questione per “esperti”, ma una responsabilità individuale. Essere consapevoli significa capire che ogni clic ha una conseguenza e che la prevenzione — dal diffidare dei software gratuiti al riconoscere un’e-mail sospetta — è l’unico modo per non alimentare l’economia del cyber-crimine.



Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

1744358477148 300x300
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research