Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

l’analisi

Natale: sotto l’albero, una minaccia cyber. Ecco che devono sapere i Ciso

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

L’attività dei criminali informatici sta aumentando in vista delle festività natalizie 2025. Domini ingannevoli, account rubati e attacchi agli e-commerce stanno accelerando. Ecco cosa devono sapere i leader aziendali

Pubblicato il 15 dic 2025
Aamir Lakhani

Global Director and Threat Intelligence Architect di Fortinet

Bhumit Mali

Senior Manager, Product Management | CTI Collection & ASM di Fortinet

minacce informatiche festività natalizie 2025

La stagione delle festività natalizie 2025 registra un’impennata di domini ingannevoli, account compromessi e vulnerabilità sfruttate sulle piattaforme di e-commerce.

I dati FortiGuard mostrano attacchi sempre più automatizzati e industrializzati, con implicazioni dirette per CISO, team antifrode e leader dell’e-commerce.

Il nuovo CISO: da tecnico a leader strategico della sicurezza

Minacce informatiche durante le festività natalizie 2025: cosa dicono i dati

Ogni anno, la stagione delle festività comporta un prevedibile picco di attività online. Ma nel 2025, il volume di nuove infrastrutture malevole, attività di compromissione degli account e sfruttamento mirato dei sistemi e-commerce risulta nettamente più alto. Gli attaccanti hanno iniziato a prepararsi con mesi di anticipo, sfruttando strumenti e servizi industrializzati che consentono loro di scalare gli attacchi su più piattaforme, aree geografiche e categorie merceologiche.

Per retailer, istituzioni finanziarie e qualsiasi tipo di azienda che gestisce un’infrastruttura di e-commerce, il panorama delle minacce non è mai stato tanto attivo e strettamente legato al comportamento dei consumatori. L’impennata registrata quest’anno negli acquisti online, nei pagamenti digitali e negli eventi promozionali crea un ambiente che gli autori delle minacce sfruttano in modo aggressivo.

La ricerca condotta da FortiGuard sulle minacce informatiche ha analizzato i dati degli ultimi tre mesi per identificare i principali pattern che stanno modellando la superficie di attacco delle festività natalizie 2025. I risultati rivelano un trend preciso: gli hacker agiscono più rapidamente, automatizzano maggiormente le proprie operazioni e capitalizzano al massimo l’aumento stagionale delle attività.

Questo articolo riassume i principali insight del nuovo FortiRecon Cyberthreat Landscape Overview for the 2025 Holiday Season pubblicato dai FortiGuard Labs, offrendo una guida alle organizzazioni che si stanno preparando al periodo di shopping online più intenso dell’anno.

Rapida crescita dell’infrastruttura malevola a tema festivo

Uno degli indicatori più evidenti dell’attività degli attaccanti prima delle festività è la registrazione dei domini. FortiGuard ha identificato più di 18.000 domini a tema festivo registrati negli ultimi tre mesi, con termini come “Christmas”, “Black Friday” e “Flash Sale”. Almeno 750 sono stati confermati come malevoli. Questo indica che molti altri domini, attualmente classificati come non malevoli, rappresentano comunque un rischio potenziale.

In parallelo, si è evidenziata un’impennata di domini che imitano i principali brand retail. I malintenzionati hanno registrato oltre 19.000 domini a tema e-commerce, di cui 2.900 confermati come dannosi. Molti di questi imitano marchi noti, spesso utilizzando lievi variazioni che sfuggono facilmente agli acquirenti che navigano rapidamente.

Questi domini supportano campagne di phishing, vetrine fraudolente, truffe legate a gift card e furti di dati di pagamento. Inoltre, contribuiscono a campagne di SEO poisoning che aumentano artificialmente le URL dannose nei risultati di ricerca durante i periodi di punta dello shopping.

I volumi record di dati di account rubati alimentano labuso delle credenziali

Il rapporto mostra anche un notevole aumento della disponibilità e dell’uso di stealer log. Nel corso degli ultimi tre mesi, più di 1,57 milioni di credenziali di accesso collegate ai principali siti di e-commerce sono state raccolte nei mercati clandestini grazie all’utilizzo di questi stealer log.

Gli stealer log contengono password salvate nel browser, cookie, token di sessione, dati di compilazione automatica e fingerprint di sistema. Durante le festività, gli utenti accedono a numerosi account su diversi dispositivi, rendendo questi registri particolarmente preziosi.

Attualmente, i marketplace criminali indicizzano questi log con filtri di ricerca, punteggi di reputazione e sistemi di consegna automatizzati. Ciò riduce notevolmente il grado di competenze necessarie per farne uso, consentendo veloci credential stuffing, acquisizione di account e acquisti non autorizzati.

Il rapporto rileva inoltre “holiday sales” attivi su card dump e dataset CVV. I malintenzionati utilizzano promozioni in stile Black Friday per vendere dati finanziari rubati a prezzi scontati, alimentando l’incremento delle frodi.

Vulnerabilità e-commerce e minacce informatiche nelle festività natalizie 2025

Gli attaccanti stanno sfruttando attivamente le vulnerabilità in Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto e altre piattaforme di e-commerce comuni. In particolare, sono tre le vulnerabilità che spiccano:

  • CVE-2025-54236 (Adobe/Magento)
    Questa vulnerabilità, secondo quanto riportato pubblicamente, è sfruttata per ottenere l’acquisizione di sessioni e l’esecuzione di codice in remoto attraverso una convalida impropria degli input. Più di 250 negozi Magento hanno registrato segni di compromissione.
  • CVE-2025-61882 (Oracle EBS)
    Questa vulnerabilità viene utilizzata dai gruppi ransomware per eseguire codice in remoto senza autenticazione, rubare dati ERP e interrompere sistemi di ordini e inventari.
  • CVE-2025-47569 (WordPress WooCommerce Ultimate Gift Card plugin)
    Questa vulnerabilità rappresenta un rischio significativo per la sicurezza dei negozi online basati su WooCommerce, in quanto un exploit riuscito potrebbe consentire ai malintenzionati di manipolare o esfiltrare informazioni sensibili dai database. Gli stessi malintenzionati, infatti, muovendosi nel darknet, la sfruttano proprio per vendere l’accesso ai dati dei database.

Su tutte le piattaforme, le vulnerabilità nei plugin, nei template e nell’autenticazione API consentono lo skimming dei pagamenti, lo sfruttamento di XSS, l’escalation dei privilegi e il caricamento non autorizzato di file.

Il Magecart-style JavaScript injection rimane una delle minacce più persistenti e dannose, consentendo ai malintenzionati di sottrarre dati di pagamento direttamente dalle pagine di checkout.

Automazione criminale e servizi industrializzati del cybercrime

Le minacce informatiche di quest’anno sono guidate da un elevato livello di automazione, supportato da un ecosistema di servizi maturo che supera la necessità dei malintenzionati di creare propri strumenti o infrastrutture. I framework brute-force basati sull’AI ormai gestiscono grandi volumi di tentativi di accesso con tempistiche e comportamenti simili a quelli umani, rendendo più difficile rilevare attacchi alle credenziali.

Gli strumenti di convalida delle credenziali realizzati su misura per WooCommerce, WordPress, FTP, SMTP e i pannelli di amministrazione più comuni consentono ai malintenzionati di testare e confermare rapidamente nomi utente e password rubati su interi cluster di siti. Inoltre, i servizi proxy e VPN in bulk offrono indirizzi IP rotanti e diversificazione geografica, impedendo così che le attività automatizzate attivino limiti di frequenza o controlli di geofencing.

L’hosting a configurazione immediata per pagine di phishing o distribuzione di malware è diventato un servizio fondamentale, in quanto fornisce ai malintenzionati server già pronti che richiedono una configurazione minima. I nuovi servizi di clonazione di siti web sono in grado di riprodurre intere vetrine digitali da utilizzare in campagne fraudolente, mentre le piattaforme SIP automatizzate supportano tentativi di vishing ad alto volume con ID chiamante falsificati.

I pannelli di spam SMS estendono queste funzionalità alle campagne di smishing, consentendo ai malintenzionati di prendere di mira gli acquirenti con false notifiche di consegna o offerte di sconto ingannevoli.

Anche i pacchetti di manipolazione SEO vengono commercializzati per spingere gli URL dannosi più in alto nei risultati di ricerca, aumentando la probabilità che gli acquirenti frettolosi clicchino su di essi. Parallelamente, servizi specializzati installano skimmer di pagamento o backdoor su piattaforme basate su CMS, consentendo il furto di dati a lungo termine.

Anche il sistema della monetizzazione è ormai oggetto di mercificazione, con tutorial dettagliati che spiegano come convertire in contanti o beni rivendibili i saldi dei portafogli elettronici e i crediti delle carte regalo rubati.

Ciò che ne consegue è un mercato strettamente integrato in cui i malintenzionati possono prepararsi all’impennata delle festività su larga scala. Molti di questi strumenti e servizi pubblicizzano persino “offerte speciali per le festività”, rispecchiando fedelmente le promozioni stagionali legittime.

Monetizzazione delle compromissioni e-commerce

I mercati clandestini stanno registrando un netto aumento delle inserzioni legate alla compromissione dell’e-commerce, a dimostrazione di quanto queste operazioni siano diventate organizzate. Gli autori delle minacce vendono interi database di clienti estratti da negozi online violati, così come milioni di record WooCommerce trapelati contenenti dettagli su acquirenti e commercianti.

I token di pagamento e le informazioni di contatto dei clienti compaiono frequentemente, così come i cookie dei browser che consentono agli acquirenti di aggirare completamente le password e l’autenticazione a più fattori (MFA). Alcuni annunci offrono persino l’accesso amministrativo o FTP a siti di vendita al dettaglio ad alto reddito, dando ai malintenzionati il controllo diretto sui sistemi di backend.

Altri stanno reclutando complici per operazioni di prelievo di contanti, consentendo il rapido riciclaggio o la monetizzazione dei saldi rubati e degli acquisti fraudolenti.

Poiché il periodo delle festività comporta un aumento dei volumi delle transazioni e un comportamento di acquisto accelerato, gli account compromessi si muovono altrettanto rapidamente attraverso questo tipo di mercati. Particolarmente preziose sono le sessioni rubate con cronologie di acquisti attive, grazie alla loro somiglianza con le attività degli utenti legittimi e alla difficoltà di rilevarle in tempo reale.

Impatto strategico per CISO, antifrode e leader e-commerce

I risultati mostrano un modello chiaro: i malintenzionati operano con maggiore rapidità, automazione e organizzazione commerciale. Il tradizionale picco delle attività informatiche durante le festività si interseca ora con i grandi ecosistemi di stealer log, gli strumenti di intelligenza artificiale di largo consumo e le vulnerabilità diffuse nell’infrastruttura dell’e-commerce.

Per i CISO, i team antifrode e i leader dell’e-commerce, questa non è una sfida temporanea limitata al periodo festivo. Riflette invece tendenze più ampie sul tooling dei malintenzionati e sulla monetizzazione che persisteranno nel 2026.

Best practice contro le minacce informatiche

Alcune misure pratiche, se adottate tempestivamente, possono ridurre significativamente i rischi di frode, appropriazione indebita di account o compromissione delle pagine di pagamento. Le seguenti best practice descrivono cosa possono fare le organizzazioni e i consumatori per prevenire le minacce più comuni durante la stagione dello shopping 2025.

Best practices per le organizzazioni

  • Mantenere sempre aggiornate tutte le piattaforme di e-commerce, i plugin, i temi e le integrazioni di terze parti e rimuovere tutto ciò che non viene utilizzato.
  • Implementare HTTPS ovunque e proteggere i cookie di sessione, le pagine amministrative e i flussi di checkout.
  • Richiedere l’autenticazione a più fattori (MFA) per gli account amministrativi e ad alto rischio e applicare politiche di password complesse.
  • Utilizzare strumenti di gestione dei bot, limitazione della velocità e rilevamento delle anomalie per ridurre l’uso improprio delle credenziali.
  • Monitorare i domini ingannevoli o simili che imitano il proprio marchio e intervenire rapidamente per eliminarli.
  • Controllare le modifiche non autorizzate agli script e implementare controlli per rilevare manomissioni delle pagine di pagamento o skimmer.
  • Centralizzare il logging per monitorare azioni amministrative sospette, dirottamento di sessioni o accessi insoliti al database.
  • Assicurarsi che i team antifrode, sicurezza e assistenza clienti seguano un percorso condiviso di escalation degli eventi informatici durante tutto il periodo festivo.

Best practice per gli utenti finali

  • Verificare attentamente gli URL dei siti web prima di inserire le informazioni di accesso o di pagamento.
  • Utilizzare carte di credito o sistemi di pagamento affidabili che offrono protezione contro le frodi.
  • Abilitare l’autenticazione a più fattori (MFA) per gli account di shopping, e-mail e bancari.
  • Evitare le reti Wi-Fi pubbliche o utilizzare una VPN quando si effettuano acquisti o si gestiscono conti finanziari.
  • Prestare attenzione ai messaggi non richiesti e alle promozioni irrealistiche, in particolare quelle legate a consegne o sconti.
  • Controllare regolarmente gli estratti conto bancari e delle carte di credito per individuare rapidamente eventuali addebiti non autorizzati.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Aamir Lakhani
Global Director and Threat Intelligence Architect di Fortinet
Seguimi su
M
Bhumit Mali
Senior Manager, Product Management | CTI Collection & ASM di Fortinet
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
AI per il lavoro
Mobile security
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Google vaultgemma; furto documenti; indipendenza garanti privacy

  • l'analisi

    Potere e responsabilità nella cultura della protezione dei dati: la relazione annuale 2024 del Garante privacy

    15 Lug 2025

    di Anna Cataleta

    Condividi
  • replika (1)

  • privacy e gdpr

    Replika sanzionata dal Garante: ecco le falle nel sistema di verifica dell'età

    12 Giu 2025

    di Aurelia Losavio

    Condividi
  • perimetro di sicurezza nazionale cibernetica; cerebro

  • cybersecurity

    Un anno da incubo per le VPN: cronologia degli attacchi 2024

    22 Mag 2025

    di Paolo Passeri

    Condividi
0
Lascia un commento, la tua opinione conta.x