Secondo l’ultima ricerca dell’azienda di cybersecurity NordVPN, nella classifica globale dei cookie rubati l’Italia è al 20° posto su 253 Paesi. Nel dark web sono stati trovati oltre 1,2 miliardi di cookie legati a utenti italiani.
Sebbene i cookie siano comunemente considerati utili per migliorare l’esperienza online, molti non sanno che gli hacker possono sfruttarli per rubare dati personali e accedere a sistemi protetti.
“I cookie possono sembrare innocui, ma nelle mani sbagliate sono le chiavi digitali delle nostre informazioni più private”, afferma Adrianus Warmenhoven, esperto di cybersecurity di NordVPN. “Quello che era stato progettato per migliorare l’esperienza utente è ora una vulnerabilità crescente sfruttata dai criminali informatici di tutto il mondo”.
I rischi dietro l’utilizzo quotidiano di internet
I cookie sono piccoli file di testo che i siti web memorizzano sul browser dell’utente per ricordarne le preferenze, i dati di accesso e il comportamento di navigazione. Svolgono un ruolo fondamentale nel migliorare l’esperienza online: permettono di restare connessi a un sito anche dopo averlo chiuso, memorizzano gli articoli nel carrello e garantiscono la continuità della sessione tra un accesso e l’altro. Senza i cookie, la navigazione su internet sarebbe molto più impersonale e frammentata.
Tuttavia, con l’evolversi del panorama digitale, assistiamo anche a un uso improprio di questi strumenti. I criminali informatici hanno imparato a raccogliere i cookie per dirottare le sessioni, rubare le identità e aggirare le misure di sicurezza.
“La maggior parte delle persone non si rende conto che un cookie rubato può essere pericoloso quanto una password compromessa”, afferma Warmenhoven. “Una volta intercettato, un cookie può dare agli hacker accesso diretto agli account e ai dati sensibili, senza bisogno di effettuare il login”.
Milioni di dati personali esposti
La ricerca di NordVPN ha scoperto una massiccia campagna malware responsabile del furto di quasi 94 miliardi di cookie; il 74% in più rispetto a un anno fa, quando i cookie raccolti erano 54 miliardi. Ancora più preoccupante è che il 20,55% di questi cookie risulta ancora attivo, costituendo una minaccia persistente per la privacy online degli utenti. I cookie rubati provengono in gran parte dai giganti del web: Google con 4,5 miliardi, YouTube con 1,33 miliardi e oltre 1 miliardo ciascuno da Microsoft e Bing.
La crescita è altrettanto allarmante se si confronta l’esposizione dei dati personali negli ultimi anni. Nel 2024, NordVPN ha identificato 10,5 miliardi di ID assegnati, 739 milioni di ID di sessione, 154 milioni di token di autenticazione e 37 milioni di credenziali di accesso. Nel 2025, questi numeri sono aumentati notevolmente, con 18 miliardi di ID assegnati e 1,2 miliardi di ID di sessione esposti. Questi tipi di dati sono fondamentali per identificare gli utenti e proteggere i loro account online, il che li rende molto preziosi per i criminali informatici.
Le informazioni rubate spesso includevano nomi e cognomi, indirizzi email, città, password e indirizzi fisici: dati personali fondamentali che possono essere utilizzati per furti di identità, frodi e accessi non autorizzati agli account.
I dati sono stati raccolti utilizzando 38 diversi tipi di malware, più del triplo rispetto ai 12 tipi identificati lo scorso anno. I più attivi sono stati Redline (41,6 miliardi di cookie), Vidar (10 miliardi) e LummaC2 (9 miliardi). Queste famiglie di malware sono note per rubare dati di accesso, password e altri dati sensibili.
RedLine è un potente infostealer in grado di sottrarre password salvate, cookie e dati di compilazione automatica dai browser, offrendo agli hacker accesso diretto agli account personali delle vittime.
Vidar opera in modo simile, ma con una pericolosa aggiunta: è in grado di scaricare un altro malware, trasformandosi così in una vera e propria porta d’accesso per attacchi più complessi.
LummaC2 è particolarmente insidioso, poiché aggiorna costantemente le proprie tattiche per eludere gli antivirus e infiltrarsi nei sistemi senza essere rilevato.
Oltre a queste minacce già note, i ricercatori hanno identificato 26 nuovi tipi di malware mai registrati nel 2024, evidenziando la rapidissima evoluzione della criminalità informatica. I nuovi malware come RisePro, Stealc, Nexus e Rhadamanthys sono particolarmente pericolosi. RisePro e Stealc sono progettati per sottrarre rapidamente credenziali di browser e dati di sessione, mentre Nexus si concentra sulle informazioni bancarie sfruttando sofisticate tecniche di emulazione mobile. Rhadamanthys è particolarmente pericoloso perché è difficile da rilevare e può installare altri tipi di malware, diventando così una minaccia versatile in grado di causare seri danni.
I cookie rubati provengono da utenti di 253 Paesi. Mentre l’Italia si è classificata al 20° posto per volume totale, solo il 7,65% dei cookie risulta attivo. Tuttavia, si tratta comunque di circa 94 milioni di cookie legati all’attività reale dell’utente: un’esposizione potenziale enorme.
“Anche una piccola percentuale di un dataset enorme rappresenta una quantità considerevole”, afferma Warmenhoven. “Si tratta di centinaia di milioni di persone potenzialmente nel mirino della criminalità informatica”.
Come proteggere i propri dati dalle minacce informatiche
È importante restare sempre vigili online per proteggersi dai rischi legati a violazioni di dati e malware. Così come iniziare a usare password forti e uniche per ogni account e attivare l’autenticazione a più fattori (MFA) quando possibile. Inoltre, essere cauti nel condividere informazioni personali ed evitare di cliccare su link sospetti o di scaricare file da fonti sconosciute.
Un altro passo fondamentale è mantenere i propri dispositivi aggiornati. Questo può aiutare a bloccare un malware dannoso prima che possa compromettere il sistema. Anche la pulizia regolare dei dati del sito è essenziale. Molti utenti non sanno che le sessioni attive possono restare aperte anche dopo aver chiuso il browser. La cancellazione di questi dati aiuta a ridurre le opportunità di accesso non autorizzato. Infine, è importante controllare sempre le impostazioni sulla privacy dei propri account online per assicurarsi di condividere informazioni solo con servizi affidabili.
“Di solito le persone chiudono il browser, ma la sessione è ancora valida e il cookie ancora presente. Se non si puliscono mai i dati del sito, la sessione sarà valida finché il proprietario del sito la riterrà sicura”, spiega Warmenhoven. “Adottare precauzioni fondamentali, come usare password robuste, attivare l’autenticazione a più fattori (MFA) e mantenere alta l’attenzione online, può ridurre significativamente il rischio di cadere vittima di attacchi informatici”. È un piccolo investimento di tempo che può proteggere da gravi minacce.”
Metodologia
I dati sono stati analizzati da NordStellar, una piattaforma di gestione dell’esposizione alle minacce. La ricerca è stata condotta tra il 23 e il 30 aprile. I ricercatori hanno esaminato i dati provenienti dai canali Telegram dove gli hacker pubblicizzano la messa in vendita delle informazioni rubate. Questo ha permesso di ottenere un dataset con informazioni su 93,76 miliardi di cookie. I ricercatori hanno identificato i cookie attivi e inattivi, il tipo di malware utilizzato per sottrarli, il Paese di provenienza, nonché i dati contenuti nei cookie stessi, come l’azienda che li ha generati, il sistema operativo dell’utente e le categorie di parole chiave a questo associate. NordVPN non ha acquistato né visualizzato il contenuto dei cookie rubati, ma ha analizzato esclusivamente le tipologie di dati indicati all’interno degli annunci di vendita.
SU NORDVPN
NordVPN è uno dei provider di servizi VPN più avanzati al mondo, utilizzato da milioni di utenti internet a livello globale. Offre funzionalità di alto livello come IP dedicato, server Double VPN e Onion Over VPN per garantire la massima sicurezza e privacy, senza alcun tracciamento. Una delle caratteristiche distintive del prodotto è Threat Protection Pro™, uno strumento che blocca siti web pericolosi, tracker e annunci, e analizza i download alla ricerca di malware. L’ultimo servizio lanciato dal team di Nord Security, società madre di NordVPN èSaily, una nuova eSIM internazionale. NordVPN è nota per la sua facilità d’uso e per offrire alcuni dei prezzi migliori sul mercato. Questo provider VPN ha più di 7.600 server che coprono 118 Paesi in tutto il mondo. Per maggiori informazioni, visita il sito https://nordvpn.com.