Phishing nel 2025: Le difese dei tuoi clienti sono pronte per la prossima ondata?

Gli attacchi di phishing rimangono una delle minacce alla sicurezza informatica più pervasive e dannose. Ingannando le persone affinché rivelino informazioni sensibili, come le credenziali email, questi attacchi non solo causano perdite finanziarie dirette, ma aprono anche la strada a crimini informatici più sofisticati.

Nel solo 2023, il Centro di denuncia crimini informatici degli Stati Uniti (IC3) ha ricevuto 880.418 denunce dal pubblico americano, con perdite potenziali superiori a 12,5 miliardi di dollari. Nel frattempo, leader globali della cybersecurity come Barracuda hanno osservato un preoccupante aumento dell'attività di phishing, con tattiche sempre più avanzate che rendono questi attacchi più difficili da rilevare e più devastanti per le vittime.

Ad esempio, all'inizio di quest'anno, Barracuda ha notato l'evoluzione di Tycoon 2FA, un toolkit di phishing-as-a-service (PhaaS) utilizzato per creare attacchi altamente efficaci. Tycoon 2FA non solo può sventare l'autenticazione a più fattori (MFA) ma sfrutta anche account email legittimi, codice sorgente ostativo e la capacità di rilevare e bloccare script di sicurezza automatizzati.

Tendenze di phishing che devi conoscere

Nel 2025, ci sono cinque principali tendenze di phishing di cui gli MSP devono essere consapevoli e prepararsi.

I kit di phishing-as-a-service (PhaaS) diventeranno più comuni, come quello descritto sopra. Secondo i dati di Barracuda, il 30% degli attacchi alle credenziali nel 2024 ha utilizzato PhaaS, che potrebbe salire al 50% nel 2025. Inoltre, questi strumenti si stanno evolvendo per rubare i codici MFA.

Gli attacchi di estorsione mirata aumenteranno. Questi attacchi mirati presenteranno appelli emotivi più personalizzati basati su un'analisi dei social media e della storia di comunicazione del destinatario, con un aumento degli attacchi di estorsione/sextortion e richieste di pagamenti di valore monetario maggiore. Questi attacchi utilizzeranno sempre più le informazioni pubbliche dei social media, inclusi Google Street View e foto personali condivise su vari piattaforme vulnerabili. Questo li rende più facili da scalare e personalizzare con l'assistenza dell'intelligenza artificiale generativa.

Gli attacchi saranno più difficili da rilevare e fermare. Gli MSP possono aspettarsi di vedere un'implementazione più ampia di tecniche evasive come codici QR basati su ASCII, URI Blob e lo spostamento del contenuto di phishing dal corpo dell'email a un allegato. I codici QR e il phishing tramite messaggi vocali già rappresentano il 20% delle rilevazioni di phishing, e queste tattiche aumenteranno man mano che i criminali troveranno successo con esse. Inoltre, gli attaccanti incorporano il contenuto di phishing in allegati HTML o PDF, il che lascia il corpo dell'email vuoto o almeno contiene pochissimo testo che attiverebbe un avviso di sicurezza tramite analisi di apprendimento automatico.

Gli aggressori sfrutteranno le piattaforme di creazione di contenuti e di pubblicazione digitale. Secondo Barracuda, circa il 10% degli attacchi di phishing rilevati nel 2024 sono stati ospitati in siti CCP (piattaforme di creazione di contenuti) o DDP (pubblicazione di documenti digitali). Gli aggressori hanno anche utilizzato queste piattaforme per creare falsi che sembrano legittimi delle piattaforme di condivisione file. Questo continuerà nel 2025 poiché gli aggressori utilizzeranno questi strumenti per ridurre il costo e la complessità della creazione di pagine di phishing.

L'IA sarà utilizzata per migliorare il successo degli attacchi di phishing. La ricerca della Harvard Business Review nel 2024 ha scoperto che il 60% dei partecipanti era caduto vittima del phishing automatizzato dall'IA. L'IA può rendere questi attacchi molto più difficili da rilevare migliorando la qualità del testo nel messaggio malevolo. Con l'IA, gli attaccanti possono creare messaggi con contenuti personalizzati, grammatica precisa e appelli emotivi simili a quelli umani basati su un'analisi dei social media e della cronologia delle comunicazioni del destinatario. L'IA può anche generare immagini deepfake, messaggi vocali e messaggi per ingannare le vittime. L'FBI ha emesso un avvertimento sugli attacchi basati sull'IA l'anno scorso, e la Harvard Business Review ha riportato che il phishing basato sull'IA era efficace nel far cadere vittime nel 60% dei casi mentre riduceva il costo degli attacchi del 95%.

La protezione dal phishing deve evolversi

Poiché il phishing continua a essere un metodo relativamente economico, che richiede poche competenze ed è rapido e facile per compromettere utenti e reti con un alto grado di successo, gli MSP e i loro clienti devono essere pronti ad affrontare queste tendenze emergenti.

Gli attacchi phishing stanno diventando più vari, opportunistici e sofisticati. È essenziale avere strategie di difesa agili, innovative e multilivello e promuovere una forte cultura della sicurezza per rimanere al passo con questa minaccia in continua evoluzione.

Queste soluzioni dovrebbero includere MFA, protocolli avanzati di autenticazione email come DMARC, e strumenti avanzati di analisi basati su IA che possono "imparare" le tattiche utilizzate dagli aggressori e migliorare la loro capacità di identificare email dannose. Le organizzazioni devono anche condurre regolari sessioni di formazione sulla consapevolezza della sicurezza con contenuti aggiornati per educare i dipendenti sulle minacce più recenti e fornire un chiaro processo di segnalazione quando individuano un'email sospetta.