Jul 8, 2025

Phishing, le nuove tecniche che fanno strage nelle aziende Cittadinanza digitale Indirizzo copiato Il phishing continua a mietere vittime sul posto di lavoro, nonostante la formazione. Le tecniche evolvono sfruttando fiducia, bias cognitivi e strumenti cloud, rendendo la minaccia sempre più difficile da contenere Pubblicato il 8 lug 2025 direttore del Netskope Threat Labs Minimo sforzo, massimo risultato. Questo è il mantra con cui operano molti criminali informatici. Le previsioni annuali su come evolverà il panorama delle minacce spesso ci portano a pensare che gli attaccanti siano concentrati nello sviluppo di attacchi iper sofisticati in grado di superare le migliori difese informatiche. Indice degli argomenti I numeri del phishing nel 2024 e il ritorno delle vecchie tecniche Sebbene una parte dell’ecosistema del crimine informatico abbia davvero queste ambizioni, la maggioranza degli attaccanti non ha le competenze tecniche o le risorse necessarie — e anche chi le ha spesso preferisce concentrarsi su metodi di attacco più semplici. Il report annuale sulle minacce pubblicato dai laboratori Netskope all’inizio del 2025 analizza alcune delle principali minacce affrontate dalle organizzazioni nell’anno precedente. Nonostante anni di esposizione costante al phishing e significativi investimenti nella formazione dei dipendenti per riconoscerlo, le campagne di phishing sono in aumento. Nel 2024, più di otto dipendenti ogni 1.000 hanno cliccato su un link di phishing ogni mese, quasi il triplo rispetto al 2023. Come il phishing sfrutta fiducia e visibilità online Perché tecniche così da “vecchia scuola” rappresentano ancora una minaccia così grande per la sicurezza informatica sul posto di lavoro? Analizziamo i diversi fattori che entrano in gioco. Consapevoli che i dipendenti (se ben formati) possono diffidare delle email in arrivo, gli attaccanti sempre più spesso “seminano” link di phishing in altri luoghi del web. Creano siti web o pagine di login fasulle che si spacciano per organizzazioni legittime, con lo scopo di rubare credenziali, e utilizzano tecniche di “SEO poisoning” per migliorare il posizionamento nei motori di ricerca . Pochi si aspettano di trovare siti malevoli nelle prime pagine dei risultati di ricerca, il che rende questa strategia molto efficace. Infatti, i motori di ricerca sono stati la principale fonte di clic su link di phishing nel 2024. Ma la proliferazione del phishing avviene su scala enorme: social media, pubblicità malevole e forum online sono tutti bersagli su cui i cybercriminali puntano per trovare nuove vittime. Il ruolo delle applicazioni cloud nel successo delle campagne di phishing Gli attaccanti sfruttano anche la fiducia implicita nelle popolari applicazioni cloud usate quotidianamente sul lavoro. Le campagne di phishing che si spacciavano per fornitori di servizi cloud sono state quelle che hanno generato più clic nel 2024 (27%), superando quelle che imitavano banche (17%), aziende di telecomunicazioni (13%) e social media (11%). Le applicazioni cloud sono diventate ambienti ideali per ospitare contenuti malevoli e, nel 2024, la stragrande maggioranza delle organizzazioni (88%) ha registrato download mensili di contenuti malevoli da queste applicazioni. I ricercatori hanno approfondito il tema, ma il denominatore comune degli attaccanti è colpire nei momenti e nei luoghi in cui il nostro livello di fiducia è massimo e la cautela è minima. Bias cognitivi e fatica decisionale nei clic sui link malevoli I nostri bias cognitivi e l’enorme numero di decisioni che i dipendenti devono prendere ogni giorno sono anch’essi fattori che portano a cadere nelle trappole del phishing. Il bias di conferma può farci trascurare anomalie sospette, poiché tendiamo a cercare pattern familiari. Il bias di disponibilità ci porta a concentrarci troppo sulle minacce più recenti che abbiamo affrontato, ignorando il quadro generale. Oppure, la fatica cognitiva può ridurre la nostra capacità di ragionare efficacemente dopo un’esposizione prolungata ad avvisi o allerte. Esiste una letteratura consolidata su come questi bias e fattori psicologici possano influenzare la sicurezza informatica. Il modo in cui gli attaccanti li sfruttano nella progettazione delle campagne di ingegneria sociale non deve essere sottovalutato e merita di essere incluso nella formazione sulla cybersecurity. Formazione inefficace: cosa non funziona contro il phishing aziendale La formazione sulla sicurezza informatica è un pilastro della sicurezza aziendale, ma ha una portata limitata nella diffusione efficace delle buone pratiche. Spesso vista come un’attività da “spuntare”, le ricerche dimostrano che la maggior parte dei dipendenti dimentica rapidamente ciò che ha appena appreso . Nonostante ciò, molte organizzazioni continuano con sessioni annuali poco coinvolgenti, investendo poco in comunicazioni regolari da parte del team di sicurezza o in formazione continua, metodi che invece si stanno rivelando più efficaci. Il coaching in tempo reale prevede l’uso di pop-up automatici che avvisano i dipendenti quando stanno per compiere un’azione contraria alle policy di sicurezza dell’organizzazione, come inviare dati sensibili a destinatari non autorizzati. Il report di Netskope mostra che, di fronte a questi avvisi, gli utenti scelgono di non proseguire nel 73% dei casi. Strategie tecniche per supportare la resilienza contro il phishing In risposta a tecniche di ingegneria sociale sempre più creative, le organizzazioni e i dipendenti devono adottare una mentalità in cui nessuno e nessun luogo su internet è affidabile finché non viene verificato. Ma i dipendenti non saranno mai difese perfette, e alcuni possono anche avere cattive intenzioni. Per questo motivo le organizzazioni devono anche considerare strumenti tecnici che supportino questa cultura e intervengano quando le difese umane falliscono. Le organizzazioni dovrebbero prendere in considerazione le seguenti azioni: Garantire la capacità di ispezionare tutto il traffico web e cloud HTTP e HTTPS per phishing, trojan, malware e altri contenuti malevoli. Analizzare file rischiosi (eseguibili, archivi) con tecniche statiche e dinamiche. Bloccare l’accesso ad applicazioni che non hanno scopi aziendali legittimi. Bloccare download e upload da applicazioni e istanze non strettamente necessari. Utilizzare policy di protezione dei dati per rilevare e bloccare l’invio di dati sensibili o regolamentati verso destinazioni inappropriate. Identificare e bloccare pattern di traffico malevolo, come il traffico di comando e controllo associato a malware noti. Analizzare i comportamenti per individuare minacce meno evidenti, come dispositivi compromessi, account violati e minacce interne. Proteggere utenti e dispositivi quando devono visitare siti ad alto rischio, ad esempio usando tecnologie come il Remote Browser Isolation. Una cultura della sicurezza continua per contrastare il phishing sul lavoro La compiacenza è il nemico della sicurezza. Mentre ci concentriamo sulla nostra missione aziendale, ogni ora di ogni giorno, gli attaccanti dedicano tutto il loro tempo a trovare nuovi modi per ingannarci — e spesso ci riescono. A meno che le organizzazioni non diffondano costantemente consapevolezza tra i propri dipendenti su come pensano e agiscono questi attaccanti, su come si evolvono le loro tecniche e su quando siamo più vulnerabili — e non implementino le giuste difese tecniche — continueremo a vedere campagne di phishing andare a segno. @RIPRODUZIONE RISERVATA