Qual è il vettore d'attacco che prende di mira gli utenti di Ahrefs?

Il vettore d'attacco sfrutta la fiducia implicita nella SERP (Search Engine Results Page) di Google, attraverso annunci pubblicitari malevoli che imitano la pagina di login di Ahrefs. L'utente viene reindirizzato a un reverse proxy gestito dall'attaccante, che intercetta le credenziali e i codici MFA (autenticazione a due fattori) in tempo reale.

Come funziona l'attacco Attacker-in-the-Middle (AITM) nel contesto di Ahrefs?

L'attaccante utilizza un reverse proxy per intercettare le comunicazioni tra l'utente e il sito legittimo di Ahrefs. Quando l'utente inserisce le proprie credenziali e il codice MFA, il proxy li inoltra al sito reale, ma intercetta anche il session token, ottenendo così l'accesso all'account dell'utente senza bisogno della password o del telefono.

Perché gli account Ahrefs sono un bersaglio interessante per gli attaccanti?

Un account Ahrefs è spesso collegato a molti altri strumenti e account digitali importanti, come Google Search Console e accessi amministrativi a WordPress. Gli attaccanti possono utilizzare l'accesso ad Ahrefs come punto di partenza per ottenere l'accesso ad asset di valore ancora maggiore.

Quali sono le debolezze nelle pratiche di sicurezza degli utenti SEO che li rendono vulnerabili?

Molti SEO sono abituati a navigare in ambienti online rischiosi e tendono ad abbassare la guardia. Inoltre, possono dedicare tempo a preoccupazioni di sicurezza minori, come il disconoscimento di backlink tossici, trascurando aspetti più importanti come la protezione della propria identità digitale.

In che modo l'intelligenza artificiale generativa contribuisce al problema degli attacchi?

Gli LLM (Large Language Models) possono "allucinare" URL che sembrano plausibili ma non esistono. Gli attaccanti registrano questi domini o creano pagine corrispondenti, creando trappole per gli utenti che si fidano ciecamente dei suggerimenti dell'AI.

Quali sono le raccomandazioni per proteggersi da questi attacchi?

È necessario spingere verso l'adozione massiva di Passkeys e WebAuthn, tecnologie che rimuovono l'errore umano dall'autenticazione. L'autenticazione basata su password e codici OTP è insufficiente se il canale di comunicazione non è sicuro.

Cosa ha fatto Ahrefs per affrontare i problemi di sicurezza?

Ahrefs ha cercato di educare i propri utenti sui rischi del web moderno, parlando dell'aumento dello spam, dei siti parassita e del data poisoning durante eventi come la conferenza Evolve 2025. Inoltre, ha condotto esperimenti per sfatare miti tecnici e aiutare i professionisti a ricalibrare le proprie difese.

Google 2 months ago

Attacco Aitm su Google Ads mira agli utenti Ahrefs: la nuova minaccia seo

Gli specialisti SEO cadono vittime di attacchi sofisticati che sfruttano la fiducia nelle SERP di Google e tecniche AITM per aggirare l’autenticazione a due fattori

C’è una certa ironia tecnica, quasi crudele, nel vedere gli specialisti SEO — professionisti pagati per comprendere le viscere dei motori di ricerca — cadere vittima proprio delle piattaforme che dovrebbero dominare.

Siamo a gennaio 2026 e la superficie d’attacco si è spostata: non parliamo più del classico phishing sgrammaticato via email che finisce nello spam, ma di un’architettura offensiva che sfrutta la fiducia implicita nella SERP di Google.

Il vettore d’attacco attuale prende di mira gli utenti di Ahrefs, una delle suite SEO più diffuse e tecnicamente rispettate.

Ma non si tratta di un semplice furto di credenziali.

L’analisi tecnica degli ultimi incidenti rivela un livello di sofisticazione che merita di essere dissezionato, perché espone una falla sistemica nel modo in cui gestiamo l’identità sul web. Non stiamo parlando di script kiddies, ma di campagne strutturate che utilizzano tecniche di Attacker-in-the-Middle (AITM), capaci di aggirare l’autenticazione a due fattori (MFA) con una fluidità disarmante.

Ciò che rende questo scenario particolarmente insidioso è il canale di distribuzione: gli annunci pubblicitari di Google.

L’ingegneria del malvertising

Dal punto di vista implementativo, l’attacco è elegante nella sua semplicità malevola. L’attaccante acquista spazi pubblicitari su Google Ads per parole chiave legate ad Ahrefs. Grazie a tecniche di cloaking — che mostrano ai crawler di Google una pagina innocua e agli utenti reali il payload malevolo — l’annuncio supera i controlli automatici.

L’utente cerca “Ahrefs login”, vede un risultato sponsorizzato in cima alla pagina che sembra legittimo, e clicca.

Qui avviene la magia nera tecnica.

L’utente non atterra su una pagina statica che copia il CSS di Ahrefs. Atterra su un reverse proxy gestito dall’attaccante.

Quando l’utente inserisce le credenziali, il proxy le inoltra in tempo reale al vero sito di Ahrefs. Quando il sito vero richiede il codice MFA, il proxy mostra la richiesta all’utente, che inserisce il codice. Il proxy lo gira al sito vero.

Il login avviene con successo, ma il session token — il cookie che mantiene l’accesso — viene intercettato dall’attaccante.

Risultato? L’hacker ha accesso completo all’account senza aver mai bisogno della password in chiaro o del telefono della vittima.

Recentemente, i ricercatori hanno confermato questa dinamica, notando come Push Security ha rilevato e segnalato una campagna di malvertising che impersona Ahrefs direttamente nei risultati di ricerca, bypassando i controlli tradizionali basati sulla reputazione del dominio.

Questa tecnica rende obsoleta gran parte della formazione sulla sicurezza impartita negli ultimi anni. Controllare il lucchetto HTTPS è inutile (il sito di phishing ha un certificato SSL valido). Affidarsi all’MFA via SMS o app authenticator è insufficiente contro un attacco real-time proxying.

L’unica difesa reale sarebbe l’uso di chiavi hardware FIDO2, che legano crittograficamente il login al dominio originale, ma l’adozione nel settore SEO rimane colpevolmente bassa. E mentre gli utenti cercano di capire come sono stati compromessi, gli attaccanti stanno già sfruttando i dati per scopi ben più ampi del semplice furto di un abbonamento software.

Quando la fiducia diventa una vulnerabilità

Perché Ahrefs? La risposta risiede nel profilo della vittima.

Un account Ahrefs non è solo uno strumento di analisi; è spesso il nodo centrale di un ecosistema digitale. Chi possiede questi accessi gestisce solitamente anche account Google Search Console, accessi WordPress amministrativi e budget pubblicitari significativi.

L’account Ahrefs è la testa di ponte per il movimento laterale verso asset di valore ancora maggiore.

Inoltre, la comunità SEO è storicamente abituata a navigare in acque torbide, analizzando domini spam e backlink di dubbia provenienza. Questa “esposizione professionale” al rischio paradossalmente abbassa la guardia.

Ahrefs stessa, consapevole di essere un bersaglio, ha cercato di educare la propria utenza sui rischi strutturali del web moderno. Durante la conferenza Evolve 2025, Patrick Stox ha discusso l’aumento dello spam e dei rischi come i siti parassita e il data poisoning, delineando un quadro in cui la manipolazione dei dati non è più solo un fastidio, ma un vettore di attacco primario.

Il problema si aggrava quando consideriamo l’impatto dell’intelligenza artificiale generativa. Gli LLM (Large Language Models) tendono ad “allucinare” URL che sembrano plausibili ma non esistono.

Gli attaccanti registrano questi domini fantasma o creano pagine che corrispondono a queste allucinazioni, creando trappole perfette per chi si affida ciecamente ai suggerimenti dell’AI. Se uniamo questo al malvertising, abbiamo un ecosistema in cui distinguere il vero dal falso diventa un esercizio di forensica digitale per ogni singolo clic.

È interessante notare come la percezione del rischio da parte degli utenti sia spesso disallineata rispetto alla realtà tecnica. Molti SEO passano ore a disconoscere link in entrata “tossici”, temendo penalizzazioni algoritmiche spesso inesistenti, mentre trascurano l’igiene della propria identità digitale.

Ahrefs ha cercato di sfatare questi miti tecnici: un esperimento condotto internamente ha dimostrato che il rinnegamento dei backlink tossici ha un impatto minimo sul posizionamento, suggerendo che le priorità difensive dei professionisti dovrebbero essere ricalibrate.

La corsa agli armamenti invisibile

Siamo di fronte a una democratizzazione degli strumenti di attacco che dovrebbe preoccupare chiunque lavori nel digitale. I kit di phishing AITM (come Evilginx2 o varianti più recenti) sono disponibili come servizi (Phishing-as-a-Service), abbassando la barriera d’ingresso tecnica per i criminali.

Non serve più essere un genio del codice per montare un proxy inverso; basta una carta di credito e un po’ di criptovaluta.

La risposta delle piattaforme pubblicitarie, Google in testa, è tecnicamente deludente. L’incapacità di verificare l’identità reale degli inserzionisti su scala globale permette a queste campagne di proliferare per giorni o settimane prima di essere abbattute.

È un gioco del gatto col topo dove il topo è automatizzato e il gatto è burocratico.

Per gli sviluppatori e i tecnici, la lezione è chiara: l’autenticazione basata su “qualcosa che sai” (password) e “qualcosa che hai” (codice OTP) è rotta se il canale di comunicazione (il browser/sito web) non è garantito.

Dobbiamo spingere verso l’adozione massiva di Passkeys e WebAuthn, tecnologie che rimuovono l’errore umano dall’equazione dell’autenticazione.

Finché ci affideremo alla capacità dell’utente di distinguere visivamente un dominio legittimo da uno malevolo su uno schermo da 6 pollici, perderemo questa battaglia.

La domanda che rimane sospesa non è se verremo attaccati, ma quanto profondo è l’accesso che stiamo regalando con un singolo, distratto clic su un annuncio che sembrava “troppo giusto” per essere vero.

Possiamo davvero continuare a costruire castelli digitali su fondamenta di sabbia come l’autenticazione via cookie, sapendo che basta un proxy per far crollare tutto?

Scritto da Luca Verdi

Developer e tech writer. Spiega la tecnologia dal punto di vista tecnico senza perdere di vista l'accessibilità. Ex software engineer, ora si dedica al giornalismo tech.

L’India è il nuovo campo di battaglia dell’IA, e i giganti tech americani stanno scaricando miliardi per conquistarla

Mentre tutti inseguono i giganti, NVIDIA scommette sui modelli piccoli: Nemotron 3 Nano arriva su Amazon Bedrock

Amazon dichiara guerra ai 12 minuti di noia: così Fire TV e il nuovo Ember Artline vogliono cambiare le nostre serate

Il paradosso Amazon: vetrina chiusa, pubblicità a pagamento

Categories

Pages

Newsletter

Non perdere nemmeno un articolo.

Attacco Aitm su Google Ads mira agli utenti Ahrefs: la nuova minaccia seo

Gli specialisti SEO cadono vittime di attacchi sofisticati che sfruttano la fiducia nelle SERP di Google e tecniche AITM per aggirare l’autenticazione a due fattori

L’ingegneria del malvertising

Quando la fiducia diventa una vulnerabilità

La corsa agli armamenti invisibile

Gli specialisti SEO cadono vittime di attacchi sofisticati che sfruttano la fiducia nelle SERP di Google e tecniche AITM per aggirare l’autenticazione a due fattori

L’ingegneria del malvertising

Quando la fiducia diventa una vulnerabilità

La corsa agli armamenti invisibile

Articoli correlati

Google Merchant Center: La Gestione Unificata dei Prodotti Multicanale nel 2026

Google Ads: la vista prodotti previene sovrapposizioni e cannibalizzazione campagne.

Geo: La strategia llms.txt porterà davvero profitto?