Il tuo MFA non basta più: kit di phishing aggirano l’autenticazione a più fattori

La quantità di kit PhaaS è raddoppiata rispetto allo scorso anno, riporta una analisi di Barracuda Networks, con la conseguenza di un aumento della tensione per i team addetti alla sicurezza”.

Gli aggressivi nuovi arrivati Whisper 2FA e GhostFrame hanno introdotto strumenti e tattiche innovativi ed elusivi, tra cui una serie di tecniche per impedire l’analisi del codice dannoso, mentre gruppi affermati come Mamba e Tycoon hanno continuato a evolversi e crescere. Come risultato, ogni kit è stato responsabile di milioni di attacchi.

Secondo l’analisi, gli strumenti e le tecniche più diffusi utilizzati dai kit di phishing nel 2025 sono stati:

• Elusione dell’autenticazione a più fattori, riscontrata nel 48% degli attacchi.
• Tecniche di offuscamento degli URL, anch’esse presenti nel 48% dei casi.
• Uso malevolo dei CAPTCHA per aggirare le difese, nel 43% di tutti gli attacchi.
• Tecniche polimorfiche e codici QR dannosi, presenti in circa il 20% degli attacchi.
• Allegati dannosi, usati nel 18% dei casi totali.
• Utilizzo fraudolento di piattaforme online affidabili (10% degli attacchi) e di strumenti di AI generativa come i siti di sviluppo zero-code (anch’essi nel 10%).

I temi principali usati nelle e-mail di phishing sono molto simili a quelli degli anni precedenti: nel 2025, un’e-mail di phishing su cinque (19%) riguardava truffe relative a pagamenti e fatture. Le e-mail relative a firme digitali e revisione di documenti hanno rappresentato invece il 18% degli attacchi, mentre i documenti relativi alle risorse umane il 13%. Molte sfruttavano marchi affidabili, imitando siti web e loghi con sempre più accuratezza.

“I kit di phishing hanno fatto un ulteriore salto di qualità nel 2025, aumentando sia in numero sia in sofisticazione; questo ha messo a disposizione dei cybercriminali, compresi i meno esperti, piattaforme di attacco avanzate e complete, consentendo loro di lanciare potenti attacchi su larga scala”, affermaAshok Sakthivel, Director, Software Engineering di Barracuda. “Tali kit sfruttano tecniche progettate per rendere più difficile agli utenti e ai team di sicurezza l’individuazione e la prevenzione delle frodi. Per tutelarsi, le organizzazioni devono superare le difese statiche e adottare strategie multilivello: formazione degli utenti, autenticazione a più fattori (MFA) resistente al phishing, monitoraggio continuo e la garanzia che la protezione delle e-mail sia al centro di una strategia di sicurezza integrata ed end-to-end“.

Cosa aspettarsi nel 2026

Oltre agli approcci tradizionali e consolidati, Barracuda ha analizzato le nuove tecniche in evoluzione.

Kit di phishing 2.0

• Il modello di business dei kit PhaaS di nuova generazione sarà caratterizzato da piani di abbonamento strutturati, che spaziano dai kit di phishing di base a campagne altamente mirate, sofisticate e personalizzate tramite intelligenza artificiale.
• Entro la fine del 2026, Barracuda prevede che oltre il 90% degli attacchi di compromissione delle credenziali sarà da attribuire all’uso di kit di phishing, che rappresenteranno oltre il 60% di tutti gli attacchi di phishing.

Tecniche di elusione dinamiche e payload personalizzati

Gli aggressori passeranno da approcci statici a dinamici e sensibili al contesto. Le tecniche avanzate per cui è atteso un aumento di volume includono:

• Codice dannoso nascosto all’interno di file immagine e audio apparentemente innocui (steganografia).
• Utilizzo di codici QR splittati e accorpati negli attacchi e introduzione di codici QR dinamici e multistadio.
• Abuso diffuso del sistema OAuth (Open Authorization), spesso utilizzato per accedere ad app o servizi senza condividere una password.
• Tecniche di elusione URL altamente avanzate, compreso l’uso di URI Blob effimeri, ovvero un tipo di indirizzo web utilizzato per memorizzare i dati localmente nella memoria del browser.
• Iniezione dinamica di codice e script dannosi completamente camuffati.

Campagne auto-adattive basate su AI

• Questi attacchi alimentati dall’AI si muoveranno a una velocità senza precedenti e saranno caratterizzati da una crittografia migliorata, livelli più profondi di offuscamento e payload adattivi.
• Si prevede inoltre che gli aggressori intensificheranno i propri sforzi per sfruttare l’intelligenza artificiale stessa, utilizzando tecniche di prompt injection e prendendo di mira gli agenti AI con l’obiettivo di manipolare o compromettere gli strumenti di sicurezza basati su questa tecnologia.

Furto e manipolazione dei codici MFA

• Si registrerà un aumento dei furti di codici di MFA tramite phishing, grazie a tattiche come l’invio massiccio di notifiche push per l’autenticazione e gli attacchi relay. D’altra parte, le strategie di social engineering prenderanno di mira i flussi di recupero dell’autenticazione, come i codici per reimpostare la password o le diverse opzioni di ripristino dell’account.
• Gli aggressori utilizzeranno il social engineering anche per attacchi che puntano a semplificare l’autenticazione multifattoriale, costringendo o portando con l’inganno l’utente a selezionare un metodo alternativo e più facile da aggirare.

Aumento degli attacchi che sfruttano i CAPTCHA

• Secondo Barracuda, entro la fine del 2026, oltre l’85% degli attacchi di phishing utilizzerà i CAPTCHA per superare gli strumenti di sicurezza automatizzati e garantire che le interazioni siano gestite da un essere umano.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.