Il tuo MFA non basta più: kit di phishing aggirano l’autenticazione a più fattori

La quantità di kit PhaaS è raddoppiata rispetto allo scorso anno, riporta una analisi di Barracuda Networks, con la conseguenza di un aumento della tensione per i team addetti alla sicurezza”.

Gli aggressivi nuovi arrivati Whisper 2FA e GhostFrame hanno introdotto strumenti e tattiche innovativi ed elusivi, tra cui una serie di tecniche per impedire l’analisi del codice dannoso, mentre gruppi affermati come Mamba e Tycoon hanno continuato a evolversi e crescere. Come risultato, ogni kit è stato responsabile di milioni di attacchi.

Secondo l’analisi, gli strumenti e le tecniche più diffusi utilizzati dai kit di phishing nel 2025 sono stati:

• Elusione dell’autenticazione a più fattori, riscontrata nel 48% degli attacchi.
• Tecniche di offuscamento degli URL, anch’esse presenti nel 48% dei casi.
• Uso malevolo dei CAPTCHA per aggirare le difese, nel 43% di tutti gli attacchi.
• Tecniche polimorfiche e codici QR dannosi, presenti in circa il 20% degli attacchi.
• Allegati dannosi, usati nel 18% dei casi totali.
• Utilizzo fraudolento di piattaforme online affidabili (10% degli attacchi) e di strumenti di AI generativa come i siti di sviluppo zero-code (anch’essi nel 10%).

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I temi principali usati nelle e-mail di phishing sono molto simili a quelli degli anni precedenti: nel 2025, un’e-mail di phishing su cinque (19%) riguardava truffe relative a pagamenti e fatture. Le e-mail relative a firme digitali e revisione di documenti hanno rappresentato invece il 18% degli attacchi, mentre i documenti relativi alle risorse umane il 13%. Molte sfruttavano marchi affidabili, imitando siti web e loghi con sempre più accuratezza.

“I kit di phishing hanno fatto un ulteriore salto di qualità nel 2025, aumentando sia in numero sia in sofisticazione; questo ha messo a disposizione dei cybercriminali, compresi i meno esperti, piattaforme di attacco avanzate e complete, consentendo loro di lanciare potenti attacchi su larga scala”, affermaAshok Sakthivel, Director, Software Engineering di Barracuda. “Tali kit sfruttano tecniche progettate per rendere più difficile agli utenti e ai team di sicurezza l’individuazione e la prevenzione delle frodi. Per tutelarsi, le organizzazioni devono superare le difese statiche e adottare strategie multilivello: formazione degli utenti, autenticazione a più fattori (MFA) resistente al phishing, monitoraggio continuo e la garanzia che la protezione delle e-mail sia al centro di una strategia di sicurezza integrata ed end-to-end“.

Cosa aspettarsi nel 2026

Oltre agli approcci tradizionali e consolidati, Barracuda ha analizzato le nuove tecniche in evoluzione.

Kit di phishing 2.0

• Il modello di business dei kit PhaaS di nuova generazione sarà caratterizzato da piani di abbonamento strutturati, che spaziano dai kit di phishing di base a campagne altamente mirate, sofisticate e personalizzate tramite intelligenza artificiale.
• Entro la fine del 2026, Barracuda prevede che oltre il 90% degli attacchi di compromissione delle credenziali sarà da attribuire all’uso di kit di phishing, che rappresenteranno oltre il 60% di tutti gli attacchi di phishing.

Tecniche di elusione dinamiche e payload personalizzati

Gli aggressori passeranno da approcci statici a dinamici e sensibili al contesto. Le tecniche avanzate per cui è atteso un aumento di volume includono:

• Codice dannoso nascosto all’interno di file immagine e audio apparentemente innocui (steganografia).
• Utilizzo di codici QR splittati e accorpati negli attacchi e introduzione di codici QR dinamici e multistadio.
• Abuso diffuso del sistema OAuth (Open Authorization), spesso utilizzato per accedere ad app o servizi senza condividere una password.
• Tecniche di elusione URL altamente avanzate, compreso l’uso di URI Blob effimeri, ovvero un tipo di indirizzo web utilizzato per memorizzare i dati localmente nella memoria del browser.
• Iniezione dinamica di codice e script dannosi completamente camuffati.

Campagne auto-adattive basate su AI

• Questi attacchi alimentati dall’AI si muoveranno a una velocità senza precedenti e saranno caratterizzati da una crittografia migliorata, livelli più profondi di offuscamento e payload adattivi.
• Si prevede inoltre che gli aggressori intensificheranno i propri sforzi per sfruttare l’intelligenza artificiale stessa, utilizzando tecniche di prompt injection e prendendo di mira gli agenti AI con l’obiettivo di manipolare o compromettere gli strumenti di sicurezza basati su questa tecnologia.

Furto e manipolazione dei codici MFA

• Si registrerà un aumento dei furti di codici di MFA tramite phishing, grazie a tattiche come l’invio massiccio di notifiche push per l’autenticazione e gli attacchi relay. D’altra parte, le strategie di social engineering prenderanno di mira i flussi di recupero dell’autenticazione, come i codici per reimpostare la password o le diverse opzioni di ripristino dell’account.
• Gli aggressori utilizzeranno il social engineering anche per attacchi che puntano a semplificare l’autenticazione multifattoriale, costringendo o portando con l’inganno l’utente a selezionare un metodo alternativo e più facile da aggirare.

Aumento degli attacchi che sfruttano i CAPTCHA

• Secondo Barracuda, entro la fine del 2026, oltre l’85% degli attacchi di phishing utilizzerà i CAPTCHA per superare gli strumenti di sicurezza automatizzati e garantire che le interazioni siano gestite da un essere umano.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.