In una recente presentazione, ho co-diretto con il Chief Information Security Officer (CISO) di una delle principali compagnie aeree e abbiamo svelato alcune sorprendenti minacce online che il settore delle compagnie aeree deve affrontare. Queste minacce spaziavano da attacchi di rete ad attacchi sofisticati alle applicazioni ed erano ben lontane dai soliti sospetti trattati nei tipici articoli.
IL COSTO NASCOSTO DEI SISTEMI DI DISTRIBUZIONE GLOBALE (GDS)
Ogni volta che cerchi un volo sul sito web di una compagnia aerea, l’applicazione recupera i prezzi da Amadeus, un sistema di distribuzione globale (GDS). Questo sistema utilizza dati di inventario in tempo reale, come il numero di posti disponibili, per presentare i prezzi. Tuttavia, ogni query GDS ha un costo.
Un giorno, il CISO della compagnia aerea ha notato un picco di $ 300.000 nei pagamenti ad Amadeus. Un’indagine ha rivelato che un bot dannoso stava sistematicamente eseguendo richieste di prezzo sul loro sito Web, causando l’aumento inaspettato.
UN SOFISTICATO ATTACCO DI NEGAZIONE DELL’INVENTARIO
Il CISO ha ricevuto una chiamata frenetica dal reparto marketing: tutti i posti su determinati voli erano stati prenotati da un singolo consumatore. Non si è trattato di un semplice scherzo; è stato un attacco altamente sofisticato. L’attaccante ha distribuito un bot che ha prenotato posti su voli specifici. Una volta prenotato un posto, hai fino a 15 minuti per completare il pagamento o il posto viene liberato.
Questo attacco richiedeva un bot in grado di navigare sul sito web della compagnia aerea, cercare rotte e date specifiche, selezionare i voli e scegliere le opzioni di prezzo. Il bot doveva identificare i posti disponibili da immagini con più stati di posti ed eseguire l’attacco da diversi indirizzi IP ogni volta.
EVOLUZIONE DEGLI ATTACCHI DENIAL OF SERVICE
In quanto compagnia aerea nazionale, il sito web della compagnia subisce spesso attacchi Distributed Denial of Service (DDoS). Questo fenomeno è iniziato nel 2022, in concomitanza con l’ascesa dell’hacktivismo globale. Che uno Stato sostenga l’Ucraina nella guerra o sia coinvolto in tensioni regionali, diventa un bersaglio per campagne di attacchi DDoS su larga scala.
Il set di strumenti degli aggressori si è evoluto. Ora adottano tecniche DDoS a livello di applicazione, tra cui attacchi Web DDoS (HTTPS flood) e attacchi DNS. Questi attacchi spesso non vengono rilevati dalle soluzioni di mitigazione DDoS standard e si sono dimostrati altamente efficaci nel causare interruzioni. Secondo il nostro Global Threat Analysis Report del 2025 , gli attacchi Web DDoS sono aumentati di quasi il 550% anno su anno nel 2024. L’intensità di questi attacchi è cresciuta esponenzialmente nella prima metà dell’anno ed è rimasta elevata nella seconda metà, riflettendo un ambiente di minacce sostenuto e aggressivo. Gli attacchi DDoS Advanced Layer 7 (L7) sono diventati importanti, sfruttando vulnerabilità come HTTP/2 Rapid Reset e Continuation Flood per colpire applicazioni online con crescente sofisticatezza. Tra gli incidenti degni di nota figurano un attacco di sei giorni a un istituto finanziario in Medio Oriente, con un picco di 14,7 milioni di richieste al secondo (RPS) e un altro attacco a un importante istituto che ha raggiunto 16 milioni di RPS.
MINACCIA DI ACCOUNT TAKEOVER (ATO) NEI PROGRAMMI FEDELTÀ
Gli account fedeltà delle compagnie aeree sono obiettivi primari per i criminali informatici che cercano di rubare punti e venderli per trarne profitto. Sebbene esistano molti modi per riscattare i punti rubati, impedirne il furto è una sfida significativa.
Le tecniche ATO tipiche prevedono violazioni delle credenziali (spesso tramite credential stuffing), tattiche di ingegneria sociale come il phishing e sfruttamento delle vulnerabilità di sicurezza. Lo strumento principale che la compagnia aerea utilizza per proteggere gli account dei propri clienti è l’autenticazione a più fattori (MFA). Tuttavia, solo il 30% dei clienti della compagnia aerea attiva l’MFA sui propri account fedeltà, lasciando il 70% esposto all’ATO.
Gli aggressori sfruttano l’MFA attivandolo con la propria e-mail o numero di telefono una volta che prendono il controllo di un account. Ciò lascia il legittimo titolare dell’account in una situazione difficile, poiché qualsiasi tentativo della compagnia aerea di convalidare la sua identità viene inviato al criminale.
OLTRE LA SUPERFICIE: UN PANORAMA DI MINACCE PIÙ AMPIO
Gli attacchi descritti sopra sono solo alcuni esempi del più ampio panorama di minacce che le compagnie aeree devono affrontare. Altre minacce includono lo scraping dei prezzi, la scansione di reti e porte, lo sfruttamento delle vulnerabilità delle applicazioni Web e delle API, gli attacchi alla logica aziendale e gli attacchi DDoS lenti e lenti.
