Barracuda full logo

Tutto quello che devi sapere sul Phishing-as-a-Service

Argomenti:
11 giu 2025
|
Ashitosh Deshnur

Cos'è il Phishing-as-a-Service?

Phishing-as-a-Service, o PhaaS, è un modello di crimine informatico in cui gli attori delle minacce offrono strumenti, kit e servizi di phishing ad altri attaccanti, spesso tramite abbonamento o pagamento una tantum. Riduce la barriera all'ingresso per attacchi di phishing fornendo modelli pronti all'uso, hosting, automazione e persino supporto clienti. PhaaS consente agli utenti non tecnici di lanciare campagne di phishing sofisticate, contribuendo all'aumento degli incidenti di phishing a livello globale

Come funziona PhaaS?

  1. Gli attaccanti si iscrivono a questo servizio, spesso tramite Darknet o canali Telegram, e ottengono accesso alla loro infrastruttura PhaaS.
  2. Il servizio fornisce e-mail e siti web falsi pronti all'uso che sembrano proprio di aziende reali.
  3. Il truffatore può personalizzare i messaggi per renderli convincenti.
  4. Quindi, queste false e-mail o siti web vengono inviati a molte persone.
  5. Quando qualcuno cade nel trucco e inserisce le proprie informazioni private, il truffatore le raccoglie e può rubare denaro o identità.

Chi utilizza PhaaS?

  • Gli hacker che vogliono effettuare il furto di credenziali ma non sanno come costruire le e-mail di phishing, l'infrastruttura per ospitare pagine di accesso false di Microsoft/Google, rubare i token di autenticazione multifattoriale (MFA) e inviarli a un server di comando e controllo.
  • A volte anche le persone che non sono molto esperte in tecnologia possono utilizzare PhaaS perché rende facile per chiunque lanciare truffe.

Perché utilizzano PhaaS?

  • Risparmia tempo e fatica — non devono creare complicate configurazioni di truffa da zero.
  • È spesso economico o basato su abbonamento, quindi è facile da accedere.

È molto più facile ora lanciare una campagna di phishing sofisticata mirata a migliaia di persone con pochi clic o con uno sforzo minimo, rispetto agli attacchi di phishing tradizionali. Questi attacchi moderni sono altamente avanzati — utilizzano metodi intelligenti per evitare il rilevamento e spesso si basano su siti web e piattaforme legittimi ma compromessi.

Quali sono i bersagli più comuni?

  • Persone comuni che ricevono e-mail che sembrano provenire dalle loro banche, piattaforme, negozi preferiti o servizi che utilizzano.
  • Dipendenti delle aziende — per cercare di infiltrarsi nei sistemi aziendali.
  • Anche le piccole imprese o le organizzazioni che potrebbero non avere forti protezioni di sicurezza.

Perché il PhaaS si sta diffondendo?

  • L'accesso a questi kit è facile poiché sono offerti a prezzi accessibili.
  • Sono più efficaci e hanno tassi di consegna più alti rispetto agli attacchi tradizionali perché i kit includono strumenti avanzati che offuscano (rendono confuso) e criptano (mettono in sicurezza) il codice sorgente e utilizzano altre tecniche per evitare il rilevamento.
  • Il servizio nasconde la complessità tecnica, quindi chiunque può partecipare.
  • È difficile fermare completamente le piattaforme PhaaS poiché:
    • Sanno come restare nascosti — Queste piattaforme sono esperte nel muoversi inosservate. Utilizzano trucchi ingegnosi per evitare di essere individuate dai sistemi di sicurezza o dalle forze dell'ordine. Continuano a cambiare i loro siti web, e-mail e metodi per non essere catturate facilmente.

    • Sono ovunque — Le piattaforme PhaaS operano in tutto il mondo. Utilizzano server e siti web in diversi Paesi, rendendo difficile per chiunque rintracciarle o spegnerle rapidamente.

Nuovi ed emergenti attacchi PhaaS

PhaaS (Phishing-as-a-Service) sta rapidamente evolvendo e producendo kit più recenti e sofisticati che rendono gli attacchi più facili ed efficaci, soprattutto per i criminali informatici meno tecnici.

CoGUI è un nuovo kit di phishing che prende di mira specificamente le organizzazioni giapponesi, dimostrando come questi strumenti siano adattati per regioni e vittime specifiche.

Altri nuovi e emergenti kit di phishing includono:

  • Sniper Dz – Un kit altamente personalizzabile utilizzato per imitare le pagine di accesso dei servizi popolari, rendendo i tentativi di phishing molto convincenti.
  • Suricata Mimetica – Nota per la sua capacità di adattare rapidamente il suo aspetto e aggirare i filtri e-mail.
  • Darcula – Un kit furtivo che combina phishing e distribuzione di malware, spesso prendendo di mira gli utenti mobili.
  • SessionShark – Specializzato nel furto di sessioni di login attive, consentendo agli attaccanti di dirottare account senza nemmeno aver bisogno di password.

Ciò che rende questi kit particolarmente pericolosi è che si evolvono costantemente — aggiornando i loro metodi per evitare di essere rilevati dai sistemi di sicurezza. Questo sviluppo continuo aiuta i truffatori a rimanere un passo avanti e rende più difficile fermarli.

Tecniche innovative negli attacchi PhaaS

Gli attacchi di phishing stanno diventando più intelligenti e più ingannevoli utilizzando nuovi metodi per ingannare le persone ed evitare di essere scoperti. Ecco alcuni dei trucchi astuti che i truffatori usano negli attacchi PhaaS:

  1. Utilizzo di siti web reali e affidabili
    Invece di creare siti web falsi da zero, i truffatori spesso utilizzano piattaforme popolari e legittime per nascondere i loro link o file dannosi. Questo rende più difficile per le persone e gli strumenti di sicurezza individuare che qualcosa non va.
  2. Crittografia per rimanere nascosti
    Criptano il loro codice dannoso, il che significa che lo confondono in modo che sembri incomprensibile. Questo rende difficile per il software di sicurezza rilevare e bloccare i loro attacchi.
  3. Rendere il codice confuso (offuscamento)
    I truffatori usano anche tecniche per rendere il loro codice confuso e difficile da capire, così anche gli esperti hanno difficoltà a capire cosa fa veramente il codice.
  4. Cambiando sempre i loro trucchi
    Questi kit di phishing continuano a evolversi nel tempo. Aggiornano regolarmente il loro funzionamento per superare le difese di sicurezza che diventano ogni giorno più intelligenti.
  5. Utilizzando siti web reali ma compromessi
    Gli attaccanti a volte utilizzano siti web legittimi che sono stati compromessi per ospitare le loro truffe. Poiché questi siti sono reali e affidabili, è più facile ingannare le vittime.
  6. Evitare il rilevamento con controlli intelligenti
    Alcuni strumenti di phishing possono rilevare quando bot di sicurezza o ambienti sandbox li stanno analizzando. Quando ciò accade o una volta che l'attacco ha compiuto il suo corso, reindirizzano le vittime a siti web reali per evitare di destare sospetti.

I kit PhaaS competono tra loro nei seguenti termini

  1. Prezzo e accessibilità: I kit che sono più economici o più facili da ottenere tendono ad attrarre più utenti. Alcuni offrono abbonamenti, mentre altri vendono licenze una tantum. Il prezzo e le opzioni di pagamento sono molto importanti.
  2. Aggiornamenti: Alcuni provider di PhaaS offrono supporto clienti e aggiornano regolarmente i loro kit per aggirare le nuove misure di sicurezza. I kit che restano aggiornati e forniscono assistenza mantengono i loro utenti fedeli.
  3. Tassi di successo: Se un kit è noto per aiutare i truffatori a evitare il rilevamento e a rubare con successo informazioni, guadagna popolarità rispetto ad altri.

Volume degli attacchi PhaaS

Dall'inizio del 2025, circa il 60% al 70% degli attacchi di phishing che abbiamo osservato sono stati attacchi PhaaS. Tra questi, il kit più ampiamente utilizzato è Tycoon 2FA, che rappresenta il 76% degli attacchi. EvilProxy costituisce circa l'8%, mentre Mamba 2FA e Sneaky 2FA insieme rappresentano il 6%. Il restante 10% proviene da vari altri kit di phishing come LogoKit, CoGUI, FlowerStorm, Gabagool, e altri.

Nota: Questo post del blog è stato co-autore da Deerendra Prasad.

Ottieni una sicurezza e-mail completa con l'ausilio dell'IA
Ashitosh Deshnur

Ashitosh Deshnur è un Analista di Minacce Associato nel Team di Analisi delle Minacce presso Barracuda Networks, con un anno di esperienza pratica nella cybersecurity. Con una laurea in Ingegneria Informatica, è appassionato di rimanere al passo con le minacce emergenti. Inoltre, nel tempo libero, ama lavorare su progetti legati all'analisi dei dati e allo sviluppo web.

Post correlati:
BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
 Ritorno a scuola, ritorno alle truffe
Ritorno a scuola, ritorno alle truffe
 Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.