Non solo password rubate: le tecniche del 2026 degli hacker per attaccare le aziende

Le password rubate non rappresentano più il principale vettore d’accesso nelle intrusioni contro aziende statunitensi.

I gruppi criminali stanno cambiando approccio: invece di concentrarsi sul furto di credenziali, sfruttano identità cloud mal configurate, token di autenticazione, sessioni già attive e vulnerabilità negli ambienti SaaS.

Un nuovo report sugli incidenti del 2026 mostra un panorama molto diverso rispetto a pochi anni fa, quando phishing e il furto di password dominavano quasi ogni compromissione aziendale.

Come funzionano gli attacchi moderni alle identità

Negli ultimi anni molte aziende hanno introdotto autenticazione multifattore, password manager e controlli anti-phishing più efficaci.

Di conseguenza i cybercriminali si sono spostati verso tecniche che colpiscono direttamente la gestione delle identità digitali. Uno degli scenari più diffusi riguarda il furto di cookie di sessione: se un attaccante ottiene un token valido memorizzato nel browser, può bypassare sistemi MFA e controlli delle password senza bisogno delle credenziali originali.

Malware come Lumma Stealer e RedLine sono specializzati proprio nella raccolta di session token, credenziali browser e dati OAuth, e colpiscono le workstation aziendali tramite allegati infetti, falsi aggiornamenti o pacchetti software compromessi.

Sul fronte cloud, gli attacchi contro ambienti AWS, Microsoft Azure e Google Cloud rappresentano ormai una componente dominante nelle intrusioni aziendali. Le configurazioni errate restano un problema enorme: API esposte, chiavi dimenticate nei repository Git, ruoli IAM troppo permissivi e account di servizio mal protetti permettono escalation rapide.

Particolarmente critici sono i sistemi di federazione delle identità come SSO e SAML: se un attaccante ottiene controllo sul provider identità o sui token federati, eredita l’accesso a numerosi servizi interni contemporaneamente. Molti gruppi ransomware hanno privilegiato proprio questa strategia identity-first, compromettendo prima un account, scalando i privilegi cloud e distribuendo il payload solo in un secondo momento.

Un’altra tecnica molto efficace nel 2026 riguarda l’abuso di OAuth: gli aggressori creano applicazioni apparentemente legittime che richiedono autorizzazioni eccessive, e quando la vittima approva l’accesso ottengono token validi per leggere email, file cloud o dati aziendali attraverso API ufficiali, generando traffico difficile da distinguere da quello legittimo. Framework criminali come Evilginx automatizzano gran parte del processo, abbassando la competenza tecnica necessaria per eseguire attacchi sofisticati.

Perché anche le aziende preparate vengono compromesse

Uno degli aspetti più significativi del report riguarda il profilo delle vittime: molte organizzazioni colpite possedevano già MFA, antivirus EDR e policy per password robuste.

Il problema nasce dalla complessità crescente degli ambienti digitali. Ogni nuova integrazione SaaS aggiunge API, token, ruoli IAM e relazioni fiduciarie che ampliano la superficie d’attacco.

Le aziende monitorano ancora soprattutto login e password compromesse, mentre gli attacchi moderni avvengono spesso dopo l’autenticazione iniziale: un token rubato può apparire come una normale sessione utente, e individuare anomalie minime tra milioni di autenticazioni richiede strumenti avanzati di behavioral analytics.

La risposta difensiva si sposta quindi dalla protezione della password verso modelli centrati sull’identità. Crescono le architetture Zero Trust, l’autenticazione continua e la verifica contestuale degli accessi. I vendor introducono scadenze più brevi sui token, binding hardware e monitoraggio del rischio sessione. Sul fronte dei privilegi, gli specialisti consigliano di ridurre drasticamente gli account amministrativi permanenti e adottare accessi just-in-time con privilegi temporanei.