A gennaio 2024, Linus Tech Tips ha perso una grossa fetta della sua videoteca e tre dei suoi canali YouTube per mano di un attaccante. Il password manager era intatto, la 2FA era attiva, nessuno nel team ha ricevuto avvisi di accesso. L'attaccante non si è nemmeno loggato, non ne aveva bisogno. Aveva un cookie di sessione che il browser della vittima dava già per buono come prova di login.
La compromissione degli account oggi funziona così. Le password quasi non si forzano più, i codici 2FA quasi non si intercettano più. Quello che viene rubato è il token di sessione, il cookie in cui il browser annota «questo utente è già autenticato». Una volta estratto, basta caricarlo in un altro browser per entrare nel conto, senza alcun controllo aggiuntivo.
Cos'è davvero una sessione
Quando accedi a un servizio, il server controlla la tua password e il secondo fattore una volta soltanto. Subito dopo rilascia al browser un cookie, di solito un token lungo e casuale. Da quel momento in poi, a ogni richiesta il browser rispedisce quel cookie e il server lo accetta come prova che sei già autenticato. Per questo non devi reinserire le credenziali a ogni pagina.
Questi token, di norma, restano validi da qualche giorno a qualche settimana. Gmail accetta le sessioni fino a due settimane, Slack e Discord fino a un anno, e certi tool SaaS non scadono proprio mai. Per il server, chi presenta il token è l'utente legittimo, indipendentemente dal dispositivo che lo invia.
Il cookie sta in un database dentro il profilo del browser, in file come Cookies o Network State all'interno della cartella utente di Chrome. Qualsiasi programma in esecuzione con i tuoi privilegi è in grado di leggerlo. Windows cifra alcuni valori, ma lo fa con la chiave DPAPI dello stesso account, e quella chiave il programma ce l'ha.
Come vengono rubati i cookie oggi
Questa famiglia di attacchi si chiama infostealer. Programmi come RedLine, Raccoon, Lumma o Stealc si affittano come servizio per qualche centinaio di dollari al mese. Restano in esecuzione pochi secondi sul computer della vittima, succhiano via cookie, password, voci di autofill e wallet di criptovalute, e se ne vanno senza lasciare tracce evidenti.
La porta d'ingresso più comune resta il software craccato e i cheat per i giochi. Dietro ci sono campagne di malvertising, installer fasulli di strumenti popolari e programmi spacciati per piratati. Dopo l'infezione basta meno di un minuto perché ogni pezzetto di dati del browser finisca nelle mani dell'attaccante.
I pacchetti rubati finiscono in vendita su marketplace come Russian Market, Genesis o 2easy. Lì non si compra una semplice password: si compra un bot completo, fatto di cookie, fingerprint, user agent e storico di IP. Con quel pacchetto, l'acquirente ricostruisce il tuo ambiente di navigazione in modo abbastanza fedele da non far scattare il risk engine del servizio.
Perché il tuo secondo fattore qui non aiuta
La 2FA protegge la fase di login. Una volta superato il login, la sessione viene rilasciata. Il cookie dice al server «mi hai già controllato tre giorni fa» e il server gli crede sulla parola. Un attaccante che rigioca quel cookie taglia fuori l'intero percorso di autenticazione, 2FA e step biometrici compresi.
Alcuni provider legano la sessione all'indirizzo IP o al fingerprint del dispositivo. Funziona contro dispositivi palesemente diversi, non contro un attaccante che imposta fingerprint e IP coerenti. Ed è esattamente quello che i marketplace vendono insieme al cookie. Il tuo team di sicurezza, nella migliore delle ipotesi, vede un accesso dalla tua città nei tuoi orari di lavoro.
Le chiavi hardware FIDO2 aiutano al momento del login. Contro un cookie già emesso non possono nulla. Sugli account davvero critici si comincia a vedere il token binding (Device-Bound Session Credentials, DBSC), ma nel 2026 il rollout è ancora parziale. Fino ad allora, un cookie rubato è un cookie valido.
Come accorgersi di un furto
I classici avvisi di accesso non si accorgono di nulla quando l'attaccante riusa la tua sessione anziché autenticarsi da capo. I segnali sono più sottili. Mail inviate che non hai scritto sono un indizio forte. Nuovi filtri o regole di inoltro che non hai creato tu sono quasi sempre opera dell'attaccante. Se gli amici ti scrivono parlando di un messaggio tuo di cui non hai alcun ricordo, il campanello d'allarme è inequivocabile.
Sui servizi che espongono la gestione delle sessioni (Google, GitHub, Discord) conviene dare un'occhiata alla lista dei dispositivi attivi. Le sessioni da città, browser o sistemi operativi inattesi vanno chiuse all'istante. Poi cambia la password, perché il pulsante di logout passa per un nuovo login e non sempre invalida le sessioni già rubate.
Se sospetti un infostealer, cambiare solo le password non basta. L'ordine corretto è: reinstallare il dispositivo o isolarlo per analisi forense, cambiare le password da una macchina pulita, invalidare tutte le sessioni, ruotare i segreti 2FA.
Proteggere le sessioni senza diventare un eremita
La mossa più efficace è non far nascere proprio i cookie più sensibili sulla macchina che usi tutti i giorni. Se ti autentichi dentro un browser isolato che viene ripulito a fine sessione, dopo il logout non resta alcun cookie su nessuna macchina ancora accesa. Un infostealer sul tuo laptop non trova più nulla da rubare.
In pratica funziona bene un modello a livelli. I login quotidiani sui siti a basso rischio restano nel browser di tutti i giorni. Gli account ad alto valore, tutto ciò con cui sposti denaro, distribuisci codice, gestisci budget pubblicitari o accedi a dati dei clienti, li apri solo dentro una sessione isolata. Cambiare abitudine è l'unica cosa che davvero blocca questa classe di attacchi. Per il quadro più ampio, dai un'occhiata a How Hackers Use Your Browser History.
Vuoi un vero desktop su qualunque dispositivo?
Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.
Avvia il tuo desktop nel browserNiente download • Funziona ovunque
