Barracuda Networks, principale fornitore di soluzioni di cybersecurity che offre una protezione completa dalle minacce complesse per aziende di ogni dimensione, ha analizzato le minacce di phishing che hanno segnato il 2025 ed evidenzia come lo scorso anno il numero di kit di PhaaS sia raddoppiato, aumentando la pressione sui team di sicurezza.
Gli aggressivi nuovi arrivati Whisper 2FA e GhostFrame hanno introdotto strumenti e tattiche innovativi ed elusivi, tra cui una serie di tecniche per impedire l’analisi del codice dannoso, mentre gruppi affermati come Mamba e Tycoon hanno continuato a evolversi e crescere. Come risultato, ogni kit è stato responsabile di milioni di attacchi.
Secondo l’analisi di Barracuda, gli strumenti e le tecniche più diffusi utilizzati dai kit di phishing nel 2025 sono stati:
- Elusione dell’autenticazione a più fattori, riscontrata nel 48% degli attacchi.
- Tecniche di offuscamento degli URL, anch’esse presenti nel 48% dei casi.
- Uso malevolo dei CAPTCHA per aggirare le difese, nel 43% di tutti gli attacchi.
- Tecniche polimorfiche e codici QR dannosi, presenti in circa il 20% degli attacchi.
- Allegati dannosi, usati nel 18% dei casi totali.
- Utilizzo fraudolento di piattaforme online affidabili (10% degli attacchi) e di strumenti di AI generativa come i siti di sviluppo zero-code (anch’essi nel 10%).
I temi principali usati nelle e-mail di phishing sono molto simili a quelli degli anni precedenti: nel 2025, un’e-mail di phishing su cinque (19%) riguardava truffe relative a pagamenti e fatture. Le e-mail relative a firme digitali e revisione di documenti hanno rappresentato invece il 18% degli attacchi, mentre i documenti relativi alle risorse umane il 13%. Molte sfruttavano marchi affidabili, imitando siti web e loghi con sempre più accuratezza.
“I kit di phishing hanno fatto un ulteriore salto di qualità nel 2025, aumentando sia in numero sia in sofisticazione; questo ha messo a disposizione dei cybercriminali, compresi i meno esperti, piattaforme di attacco avanzate e complete, consentendo loro di lanciare potenti attacchi su larga scala”, afferma Ashok Sakthivel, Director, Software Engineering di Barracuda. “Tali kit sfruttano tecniche progettate per rendere più difficile agli utenti e ai team di sicurezza l’individuazione e la prevenzione delle frodi. Per tutelarsi, le organizzazioni devono superare le difese statiche e adottare strategie multilivello: formazione degli utenti, autenticazione a più fattori (MFA) resistente al phishing, monitoraggio continuo e la garanzia che la protezione delle e-mail sia al centro di una strategia di sicurezza integrata ed end-to-end”.
Cosa aspettarsi nel 2026
Oltre agli approcci tradizionali e consolidati, Barracuda ha analizzato le nuove tecniche in evoluzione.
Kit di phishing 2.0
- Il modello di business dei kit PhaaS di nuova generazione sarà caratterizzato da piani di abbonamento strutturati, che spaziano dai kit di phishing di base a campagne altamente mirate, sofisticate e personalizzate tramite intelligenza artificiale.
- Entro la fine del 2026, Barracuda prevede che oltre il 90% degli attacchi di compromissione delle credenziali sarà da attribuire all’uso di kit di phishing, che rappresenteranno oltre il 60% di tutti gli attacchi di phishing.
Tecniche di elusione dinamiche e payload personalizzati
Gli aggressori passeranno da approcci statici a dinamici e sensibili al contesto. Le tecniche avanzate per cui è atteso un aumento di volume includono:
- Codice dannoso nascosto all’interno di file immagine e audio apparentemente innocui (steganografia).
- Si registrerà un aumento dei furti di codici di MFA tramite phishing, grazie a tattiche come l’invio massiccio di notifiche push per l’autenticazione e gli attacchi relay. D’altra parte, le strategie di social engineering prenderanno di mira i flussi di recupero dell’autenticazione, come i codici per reimpostare la password o le diverse opzioni di ripristino dell’account.
- Gli aggressori utilizzeranno il social engineering anche per attacchi che puntano a semplificare l’autenticazione multifattoriale, costringendo o portando con l’inganno l’utente a selezionare un metodo alternativo e più facile da aggirare.
Aumento degli attacchi che sfruttano i CAPTCHA
- Secondo Barracuda, entro la fine del 2026, oltre l’85% degli attacchi di phishing utilizzerà i CAPTCHA per superare gli strumenti di sicurezza automatizzati e garantire che le interazioni siano gestite da un essere umano.
Minacce malware più avanzate
- Si prevede che gli attacchi malware diventeranno più sofisticati, con un incremento dei malware privi di file che si nascondono nella memoria del dispositivo, e di payload polimorfici in grado di eludere le tradizionali difese basate sulle firme.
- Utilizzo di codici QR splittati e accorpati negli attacchi e introduzione di codici QR dinamici e multistadio.
- Abuso diffuso del sistema OAuth (Open Authorization), spesso utilizzato per accedere ad app o servizi senza condividere una password.
- Tecniche di elusione URL altamente avanzate, compreso l’uso di URI Blob effimeri, ovvero un tipo di indirizzo web utilizzato per memorizzare i dati localmente nella memoria del browser.
- Iniezione dinamica di codice e script dannosi completamente camuffati.
Campagne auto-adattive basate su AI
- Questi attacchi alimentati dall’AI si muoveranno a una velocità senza precedenti e saranno caratterizzati da una crittografia migliorata, livelli più profondi di offuscamento e payload adattivi.
- Si prevede inoltre che gli aggressori intensificheranno i propri sforzi per sfruttare l’intelligenza artificiale stessa, utilizzando tecniche di prompt injection e prendendo di mira gli agenti AI con l’obiettivo di manipolare o compromettere gli strumenti di sicurezza basati su questa tecnologia.
Furto e manipolazione dei codici MFA
- Si registrerà un aumento dei furti di codici di MFA tramite phishing, grazie a tattiche come l’invio massiccio di notifiche push per l’autenticazione e gli attacchi relay. D’altra parte, le strategie di social engineering prenderanno di mira i flussi di recupero dell’autenticazione, come i codici per reimpostare la password o le diverse opzioni di ripristino dell’account.
- Gli aggressori utilizzeranno il social engineering anche per attacchi che puntano a semplificare l’autenticazione multifattoriale, costringendo o portando con l’inganno l’utente a selezionare un metodo alternativo e più facile da aggirare.
Aumento degli attacchi che sfruttano i CAPTCHA
- Secondo Barracuda, entro la fine del 2026, oltre l’85% degli attacchi di phishing utilizzerà i CAPTCHA per superare gli strumenti di sicurezza automatizzati e garantire che le interazioni siano gestite da un essere umano.
Minacce malware più avanzate
- Si prevede che gli attacchi malware diventeranno più sofisticati, con un incremento dei malware privi di file che si nascondono nella memoria del dispositivo, e di payload polimorfici in grado di eludere le tradizionali difese basate sulle firme.
