Phishing-as-a-Service: l'industrializzazione della frode informatica

Gli attacchi di phishing si sono trasformati in un vero e proprio business, che abbassa le barriere d’ingresso e mette a dura prova le difese informatiche, secondo il nuovo State of Cybersecurity report di Sopra Steria.
| minuti di lettura

Il phishing non è più una semplice truffa opportunistica: è diventato un vero e proprio modello di business industrializzato. Con l’avvento del Phishing-as-a-Service (PhaaS), gli strumenti per impersonare, manipolare e sfruttare le vittime sono oggi alla portata del miglior offerente o, di fatto, di chiunque disponga di una connessione internet e di pochi euro.

Secondo il report State of Cybersecurity 2025 di Sopra Steria, il phishing è stato il principale vettore di attacco nel 2024, coinvolto in quasi il 60% di tutte le intrusioni di rete. La novità non risiede solo nella frequenza di questi attacchi, ma nell’ecosistema che li sostiene. Le piattaforme PhaaS offrono kit di phishing pronti all’uso, domini pre-registrati, strumenti di automazione e persino supporto tecnico, trasformando di fatto il cybercrime in un servizio in abbonamento.

La commercializzazione del phishing ha democratizzato il crimine informatico: oggi gli attori malevoli non hanno più bisogno di competenze di programmazione o infrastrutture complesse per condurre attacchi su larga scala. Le barriere d’ingresso sempre più basse favoriscono l’ingresso di nuovi attori, aumentando il volume, la portata e la sofisticazione delle campagne di phishing.

Questo cambiamento ha implicazioni rilevanti per la sicurezza aziendale. Le e-mail di phishing integrano ormai tecniche di evasione multilivello, tra cui HTML smuggling, file ZIP criptati e reverse proxy in grado di aggirare persino l’autenticazione a più fattori (MFA). Le tradizionali misure di sicurezza perimetrale risultano quindi sempre più insufficienti.

Il phishing diventa multicanale

Una delle tendenze più preoccupanti evidenziate nel report è la crescita del phishing multicanale. Non più limitate alle e-mail, le campagne ora si diffondono attraverso SMS, chiamate vocali e app di messaggistica. Gli attori delle minacce spesso si spacciano per team di supporto IT o partner affidabili, utilizzando tattiche come domini falsificati, portali di login clonati e proxy AiTM (adversary-in-the-middle) in grado di intercettare le credenziali in tempo reale.

La sofisticazione di questi attacchi è stata amplificata dalla diffusione dei kit di Phishing-as-a-Service. Piattaforme come Evilginx e Tycoon, ad esempio, offrono guide dettagliate e dashboard dedicate che consentono agli attaccanti di costruire campagne mirate a settori, ruoli professionali o perfino singoli individui. Un livello di precisione che, fino a poco tempo fa, era riservato esclusivamente alle operazioni sostenute da stati nazionali.

Inoltre, gli operatori di phishing sfruttano in tempo reale gli aggiornamenti sui social media per rendere gli attacchi più tempestivi e credibili. Falsi profili di recruiter su LinkedIn, CV generati con l’AI e messaggi personalizzati in base a cambi di ruolo o promozioni stanno diventando sempre più comuni.

Oggi, questi attacchi non mirano più solo alla compromissione delle e-mail, ma a ottenere un accesso persistente ai sistemi. Una volta entrati, gli aggressori utilizzano gli account compromessi per muoversi lateralmente, esfiltrare dati o installare ulteriore malware. In molti casi, creano regole di inoltro, registrano nuovi dispositivi o manipolano le impostazioni MFA per mantenere l’accesso nel tempo.

Il profilo di rischio non riguarda più soltanto il reparto IT. Dirigenti, team finanziari e risorse umane sono tra i principali obiettivi, data la loro possibilità di accedere a dati sensibili e autorizzare transazioni critiche. Questa realtà impone un cambiamento culturale e procedurale più ampio nel modo in cui le organizzazioni affrontano il fenomeno del phishing.

Ripensare la resilienza aziendale

Per contrastare la professionalizzazione del phishing, le aziende devono adottare strategie difensive altrettanto evolute. Il punto di partenza è l’implementazione di sistemi MFA resistenti al phishing, come token hardware o autenticazione basata su certificati, che aumentano in modo significativo il costo e la complessità degli attacchi AiTM (adversary-in-the-middle).

La formazione del personale, un tempo vista solo come un esercizio di conformità annuale, deve diventare continua e contestuale. Le simulazioni di phishing personalizzate per ruoli specifici e minacce attuali possono migliorare sensibilmente i tempi di risposta e ridurre i casi di compromissione.

Anche l’investimento tecnologico è fondamentale. Strumenti come Endpoint Detection and Response (EDR), soluzioni cloud-native di e-mail security e analisi comportamentale in tempo reale offrono capacità essenziali per individuare e interrompere operazioni di phishing avanzate.

Oltre alla tecnologia, le organizzazioni devono ripensare i propri processi di incident response. Gli attacchi di phishing moderni si sviluppano spesso nell’arco di giorni o settimane: la capacità di rilevare in tempo reale regole anomale nelle caselle di posta, movimenti laterali o nuove registrazioni di dispositivi sospetti non è più un optional, ma un requisito di base.

Infine, è fondamentale un coinvolgimento attivo del top management. Poiché il phishing si è evoluto in un rischio sistemico per il business, la responsabilità della resilienza non può essere delegata esclusivamente all’IT. I team direttivi devono essere in grado di comprendere il panorama delle minacce e sostenere adeguatamente gli investimenti necessari per proteggere l’organizzazione.

Una corsa agli armamenti digitali

La commercializzazione del phishing sta ridefinendo l’economia del cybercrime. Con costi d’ingresso minimi e potenziali guadagni elevati, la portata e la frequenza degli attacchi continueranno a crescere. Nel frattempo, il peso che grava sui difensori si fa sempre più intenso, richiedendo una sinergia tra tecnologia, formazione e strategia.

Le organizzazioni devono considerare il phishing non come una minaccia isolata, ma come una sfida continua e in evoluzione, che richiede una risposta coordinata e investimenti costanti. I tempi in cui il phishing veniva percepito come un semplice fastidio sono ormai finiti: oggi è una vera e propria industria, che prospera grazie alla velocità, all’automazione e alla vulnerabilità umana.

Man mano che gli attori delle minacce diventano più agili e strutturati dal punto di vista commerciale, le aziende devono rispondere con strategie di sicurezza adattive e basate sull’intelligence. Qualsiasi approccio inferiore equivale a un invito aperto alla compromissione.

 

 

Scarica lo State of Cybersecurity 2025 report e scopri come preparare la tua organizzazione ad affrontare l’evoluzione del Phishing-as-a-Service e delle nuove minacce informatiche.

Scopri il whitepaper  

____________________________________________________

Vuoi ricevere i nostri aggiornamenti sul mondo della tecnologia e suggerimenti su come digitalizzare il tuo business?

ISCRIVITI ALLA NOSTRA NEWSLETTER  

 

Search

ai

digital-transformation

Articoli Correlati

Mobile banking: la banca in evoluzione

Il mobile banking è uno degli aspetti che denotano l’evoluzione a cui il mondo bancario sta andando incontro, attraverso esperienze digitali, nuove tecnologie, idee semplici, visionarie e confini non ancora ben definiti.

Della Data Strategy nei servizi finanziari

Nel settore dei servizi finanziari sono state tipicamente adottate strategie dati di tipo difensivo, ma il livello di maturità raggiunto e l’evoluzione del mercato e della normativa impongono ora l’adozione di una strategia olistica che metta al centro la creazione di valore.

 

La realtà tra Virtuale e Aumentata

Vivremo e lavoreremo tutti nel Metaverso? Come le aziende di servizi che si basano sui branch office si trasformeranno?

Si stagliano nel panorama della trasformazione digitale due visioni tecnologiche contrapposte: da un lato la realtà virtuale dall’altra quella aumentata.