Dalle mail trappola ai pannelli PaaS, fino ai mercati del dark web: così credenziali e dati personali rubati nel phishing vengono verificati, rivenduti e riusati per anni.
Autore: Redazione SecurityOpenLab
Il phishing resta il primo anello della catena negli attacchi finalizzati al furto di dati. Secondo Kaspersky, nel periodo fra gennaio e settembre 2025 in Europa sono stati cliccati oltre 131 milioni di link di phishing. L’88,5% delle campagne aveva come obiettivo diretto il furto di username e password degli account, il 9,5% mirava a informazioni anagrafiche e un ulteriore 2% alle carte di pagamento. Una volta rubati, che fine fanno questi dati?
Kaspersky ha ricostruito il viaggio dei dati lungo l’intera filiera del cybercrimine, dal momento in cui l’utente inserisce le credenziali sulla pagina fake fino al loro arrivo in una sorta di grandi magazzini digitali, dove vengono verificati, impacchettati, messi a listino e riciclati per attacchi mirati, anche anni dopo la violazione iniziale.
Tutto inizia con il messaggio di phishing, sia esso una mail, un SMS o una chat: con l’aiuto dell’ingegneria sociale e dell’AI, il testo è creato appositamente per spingere la vittima su un sito clone praticamente identico a quello legittimo. La pagina contiene un form per l’inserimento di credenziali, dati personali e, nei casi più aggressivi, informazioni della carta di pagamento o codici di autenticazione. In genere il tutto è presentato come verifica o aggiornamento di sicurezza.
Nel momento in cui l’utente compila il form, i dati vengono inviati a infrastrutture controllate dai criminali. Nei kit più vecchi il contenuto del form veniva inoltrato via email all’attaccante, ma questo metodo è poco scalabile e facilmente intercettabile dai provider, per cui è stato progressivamente affiancato e superato da canali più efficienti. Oggi la raccolta avviene sempre più spesso attraverso API e bot, usando token e Chat ID configurati in anticipo: ogni nuova vittima genera un messaggio preformattato che compare istantaneamente nella chat in cui operano uno o più membri del gruppo criminale.
In parallelo o in alternativa, i dati possono essere inviati a pannelli di amministrazione dedicati, progettati per ricevere grandi volumi di credenziali e altri record da più campagne contemporaneamente. Questi pannelli funzionano come un backend PaaS del cybercrimine: centralizzano la raccolta, permettono di filtrare per tipo di servizio, Paese, data, stato di verifica e offrono una vista strutturata su quello che, in origine, è un flusso caotico di submission provenienti da centinaia di pagine fake.
Una volta che i dati sono entrati nel sistema, scatta la fase di verifica. Le credenziali vengono testate in automatico su diversi servizi (webmail, social, portali di e‑commerce e banking) per capire dove funzionano davvero, sfruttando il fatto che molti utenti riutilizzano la stessa password su più piattaforme. In questa fase i record vengono etichettati: credenziali valide, scadute, con autenticazione aggiuntiva, account bloccati, così da separare rapidamente ciò che è monetizzabile da ciò che finirà, almeno temporaneamente, nel limbo dei dati inutilizzabili.
I risultati di questo primo screening vengono consolidati nei cosiddetti dump, ossia grandi archivi che aggregano informazioni provenienti da campagne di phishing diverse e da vecchi data breach. In un dump possono convivere login di webmail, account social, accessi a servizi governativi, numeri di telefono, dati anagrafici, dettagli di carte e copie di documenti, tutti legati tra loro da identificativi comuni come email, username o numeri di cellulare.
A questo punto entrano in scena figure specializzate, che svolgono una sorta di data analytics criminale. Il loro compito è ripulire ulteriormente i dataset, unirli con altri dump disponibili, arricchirli con dati reperibili in chiaro e costruire veri e propri dossier digitali su individui o categorie di vittime, incrociando informazioni di contatto, ruoli professionali, abitudini di consumo e capacità finanziarie.
Quando i dump raggiungono una qualità e una dimensione ritenute sufficienti, si passa alla monetizzazione vera e propria. I lotti di dati vengono messi in vendita all’ingrosso sul dark web e su forum chiusi: Kaspersky segnala dump offerti anche a 50 dollari o meno, pensati per acquirenti che vogliono effettuare le proprie selezioni o usarli per campagne massive di spam, phishing di seconda ondata o tentativi automatizzati di accesso.
Per i dati di maggiore valore il modello cambia: invece del dump generico, il venditore propone accessi già testati e pronti all’uso. Gli account collegati a piattaforme di criptovalute hanno un prezzo medio di 105 dollari, quelli bancari arrivano a 350 dollari, mentre un accesso a un portale di e‑government viene valutato in media 82,5 dollari; documenti personali digitalizzati vengono venduti intorno ai 15 dollari, ma il loro vero potenziale emerge quando vengono usati insieme ad altri dati per furti di identità sofisticati.
Accanto a questi pezzi pregiati c’è il mercato degli account per servizi consumer: profili social, webmail, piattaforme di messaggistica e store online. Qui il prezzo varia dai centesimi a qualche decina di dollari in base a fattori come anzianità, livello di verifica, cronologia d’uso e presenza di metodi di pagamento collegati; per gli account di e‑commerce la media indicata da Kaspersky è intorno ai 20 dollari, con valori più alti per profili apparentemente affidabili.
Una volta venduti, i dati non restano fermi nei portafogli degli acquirenti: vengono riutilizzati in fasi successive della filiera. In alcuni casi l’obiettivo è immediato: svuotare conti, fare acquisti fraudolenti, riciclare criptovalute o rivendere sul mercato parallelo beni acquistati con carte compromesse. In altri casi l’interesse è più strategico e punta a costruire accessi stabili a infrastrutture aziendali o a identità digitali che possano essere sfruttate a ripetizione.
A questo punto si apre la dimensione di lungo periodo. Un login rubato anni prima e finito in un dump può essere ripescato quando la stessa email o lo stesso username ricompaiono associati, per esempio, a un dirigente che ha cambiato azienda e ruolo: incrociando i dati di vecchie violazioni con informazioni OSINT, i criminali possono costruire campagne di spear phishing estremamente convincenti, spacciando le loro mail per comunicazioni interne o messaggi diretti di top manager.
Lo stesso vale per i privati: dati anagrafici, numeri di telefono, indirizzi e copie di documenti diventano materia prima per aprire conti, richiedere prestiti, attivare SIM o servizi finanziari a nome della vittima, spesso senza che se ne accorga fino all’arrivo delle prime comunicazioni di sollecito. Ecco il motivo per il quale i dati rubati non sono mai davvero vecchi, anzi, si arricchiscono, cambiano mano e possono trasformarsi in armi persistenti che accompagnano una persona per tutta la sua vita digitale.