Pillole di sicurezza informatica

Pillole di sicurezza informatica

Phishing as a Service: la nuova frontiera delle truffe online

Negli ultimi mesi è cresciuto rapidamente il numero dei cosiddetti kit di phishing “chiavi in mano” (per i tecnici: Phishing as a Service, o PhaaS).

In pratica, rispetto allo scorso anno, questi strumenti sono raddoppiati.

I kit di “Phishing as a Service” sono pacchetti pronti all’uso venduti nel dark web che permettono di creare:

·       Copie di siti web di banche, corrieri o servizi noti

·       Modelli di email già pronti da inviare

·       Pannelli di controllo per gestire i dati rubati

·       Perfino assistenza clienti per i criminali meno esperti

Il risultato? Truffe più veloci, più numerose e più difficili da bloccare.

Funzionano in abbonamento o a pagamento per uso, abbassando la barriera d’ingresso al cybercrimine.

Rendono gli attacchi più rapidi, scalabili e difficili da bloccare, aumentando la diffusione di truffe e furti di identità.

Secondo un’analisi di Barracuda Networks, gli strumenti e le tecniche più diffusi utilizzati dai kit di phishing nel 2025 sono stati:

·        Elusione dell’autenticazione a più fattori, riscontrata nel 48% degli attacchi.

·        Tecniche di offuscamento degli URL, anch’esse presenti nel 48% dei casi.

·        Uso malevolo dei CAPTCHA per aggirare le difese, nel 43% di tutti gli attacchi.

·        Codici QR dannosi, presenti in circa il 20% degli attacchi.

·        Allegati dannosi, usati nel 18% dei casi totali.

·        Utilizzo fraudolento di piattaforme online affidabili, i cosiddetti “Watering hole”, (10% degli attacchi) e di strumenti di AI generativa come i siti di sviluppo zero-code -(anch’essi nel 10%) - i siti di sviluppo zero-code sono piattaforme online che permettono di creare applicazioni, siti web, moduli o automazioni senza scrivere codice.

·        I temi principali usati nelle e-mail di phishing sono molto simili a quelli degli anni precedenti: un’e-mail di phishing su cinque (19%) riguardava truffe relative a pagamenti e fatture;

·        le e-mail relative a firme digitali e revisione di documenti hanno rappresentato invece il 18% degli attacchi quelle relative alle risorse umane il 13%.

Molte sfruttavano marchi affidabili, imitando siti web e loghi con sempre più accuratezza.

I kit di phishing sfruttano tecniche progettate per rendere più difficile agli utenti l’individuazione e la prevenzione delle frodi.

Per tutelarsi, occorre agire su più fronti:

·       formazione,

·       autenticazione a più fattori (MFA) resistente al phishing,

·       strumenti di individuazione del malware.

Cosa aspettarsi nel 2026

Truffe ancora più "professionali". I kit di phishing diventeranno veri servizi strutturati, con piani base e premium. Barracuda stima che entro fine 2026:

Kit di phishing 2.0

• Il modello di business dei kit PhaaS di nuova generazione sarà caratterizzato da piani di abbonamento strutturati, che spaziano dai kit di phishing di base a campagne altamente mirate, sofisticate e personalizzate tramite intelligenza artificiale.
• Entro la fine del 2026, Barracuda prevede che oltre il 90% degli attacchi di compromissione delle credenziali sarà da attribuire all’uso di kit di phishing, che rappresenteranno oltre il 60% di tutti gli attacchi di phishing.

Attacchi più intelligenti e dinamici

Gli aggressori passeranno da approcci statici a dinamici e sensibili al contesto. Le tecniche avanzate per cui è atteso un aumento di volume includono:

• Codice dannoso nascosto all’interno di file immagine e audio apparentemente innocui (steganografia).
• Utilizzo di codici QR splittati e accorpati negli attacchi e introduzione di codici QR dinamici e multistadio.
• abuso dei sistemi di accesso senza password (OAuth)

Attacchi guidati dall’intelligenza artificiale

• Questi attacchi alimentati dall’AI si muoveranno a una velocità senza precedenti e saranno caratterizzati da una crittografia migliorata.
• Si prevede inoltre che gli aggressori intensificheranno i propri sforzi per sfruttare l’intelligenza artificiale stessa, prendendo di mira gli agenti AI con l’obiettivo di manipolare o compromettere gli strumenti di sicurezza basati su questa tecnologia.

Furto e manipolazione dei codici MFA

·        Si registrerà un aumento di finte richieste di reset password, di furti di codici di MFA tramite phishing. Le strategie di social engineering prenderanno di mira i flussi di recupero dell’autenticazione, come i codici per reimpostare la password o le diverse opzioni di ripristino dell’account.

• Gli aggressori utilizzeranno il social engineering anche per attacchi che puntano a semplificare l’autenticazione multifattoriale, costringendo o portando con l’inganno l’utente a selezionare un metodo alternativo e più facile da aggirare, con metodi di accesso meno sicuri.

Aumento degli attacchi che sfruttano i CAPTCHA

• Entro fine 2026, oltre l'85% degli attacchi userà i CAPTCHA — quei test "non sono un robot" — per bloccare i sistemi di sicurezza automatici e assicurarsi che solo persone reali cadano nella trappola.

In sintesi

Il phishing sta diventando:

• più facile da lanciare
• più credibile
• più difficile da fermare

E soprattutto, sempre più automatizzato e scalabile.

Consapevolezza e strumenti adeguati restano le armi migliori.

Diffidare di email urgenti, verificare sempre i link prima di cliccare e attivare metodi di autenticazione robusti può fare la differenza.