Barracuda ha analizzato come potrebbero evolversi nel 2025 alcune tecniche di phishing per eludere i controlli di sicurezza e far apparire le e-mail malevole più verosimili e personalizzate.
Phishing-as-a-service e furto di credenziali
I dati di rilevamento di Barracuda mostrano che nel 2024 oltre l’85% degli attacchi di phishing rivolti ai clienti aveva come obiettivo il furto di credenziali. Secondo gli esperti dell’azienda, nel corso del 2025 questo dato raggiungerà o supererà il 90%. Nei prossimi mesi infatti, si prevede che i kit di Phishing-as-a-service (PhaaS), particolarmente utilizzati in questo tipo di attacchi, saranno ancora più sofisticati e capaci di rubare i codici di autenticazionemultifattoriale per attuare il phishing delle credenziali. I tentativi di furto basati su PhaaS rappresentano attualmente circa il 30% delle minacce ai dati di accesso rilevate. Ma si crede che, nel corso dell’anno, questa percentuale crescerà fino a superare la metà del totale.
Attenzione all’uso malevolo di servizi di protezione di URL legittimi
Per Barracuda la scoperta più sorprendente del 2024 è stata l’utilizzo malevolo da parte dei cyber criminali dei servizi di protezione degli URL forniti da marchi affidabili e legittimi. Compresi quelli dei principali provider di sicurezza per mascherare i link di phishing negli attacchi finalizzati al furto degli account. Una tattica individuata inizialmente lo scorso luglio, che tuttavia continua a costituire un grave pericolo.
Le tecniche di phishing sfruttano anche codici QR e caselle vocali
Il phishing tramite codici QR e notifiche di messaggi presenti nelle caselle vocali delle vittime rappresenta attualmente circa il 20% dei rilevamenti complessivi delle minacce. I codici QR realizzati con caratteri ASCII e i link URI a blob creati appositamente, ad esempio, sono spesso usati per eludere il rilevamento da parte delle misure di sicurezza implementate. Lo sviluppo e l’utilizzo di queste tecniche si protrarranno anche nel 2025 e diventeranno ancora più diffusi.
Impersonificazione dei responsabili HR
Nel 2025 è atteso anche un aumento degli attacchi che impersonano i responsabili delle risorse umane delle aziende. Tali minacce rappresentano attualmente circa il 10% del totale individuato. Tuttavia gli esperti di Barracuda prevedono che nel corso dell’anno aumenteranno, soprattutto in corrispondenza delle principali scadenze fiscali.
Uso illecito delle piattaforme di creazione e pubblicazione di contenuti
Circa il 10% delle truffe esaminate da Barracuda nel 2024 sono ospitate da siti di creazione di contenuti o di pubblicazione di documenti digitali. La tendenza, emersa in una precedente ricerca, secondo gli esperti dell’azienda continuerà anche quest’anno, alimentata da una crescente quantità di piattaforme simili in cui inserire le pagine di phishing.
L’invio di allegati malevoli tra le tecniche di phishing in crescita
In questi mesi l’uso di allegati malevoli diventerà sempre più comune. Nel corso del 2024 Barracuda ha esaminato diverse e-mail in cui il contenuto di phishing era veicolato tramite un allegato HTML o PDF. Lasciando invece il corpo dell’e-mail vuoto o inserendo solo un testo molto breve. Il sospetto è che questo comportamento sia un tentativo di eludere l’analisi dei messaggi basata sul machine learning, strategia che presumibilmente si diffonderà ancor più nel 2025.
Estorsione personalizzata
Nel corso del 2024 Barracuda ha individuato milioni di attacchi estorsivi rivolti ai clienti. Una recente ricerca ha evidenziato come questi crimini si siano evoluti. Ora infatti riescono a servirsi di fotografie e immagini prese da Google Street View per minacciare le vittime e dimostrare di conoscere domicilio o luoghi che frequentano. Nel 2025, si prevede che i tentativi di estorsione diventeranno ancora più personalizzati e richiederanno pagamenti di cifre più elevate.
L’uso dell’AI caratterizzerà le tecniche di phishing
Gli hacker sfrutteranno sempre più l’intelligenza artificiale, i siti web legittimi e i reindirizzamenti per far sembrare i loro attacchi di phishing quanto più autentici possibile. Con l’aiuto di queste tecnologie, gli aggressori possono infatti creare e-mail di phishing ancora più convincenti e apparentemente uguali a comunicazioni autentiche. Con contenuti personalizzati, una grammatica precisa e richieste che fanno leva sull’emotività, sull’analisi della cronologia dei social media e sulle comunicazioni delle vittime.
Saravanan Mohankumar, Manager Threat Analyst di Barracuda Il phishing rimane una potente minaccia informatica. Perché è relativamente economico, rapido e facile da attuare e non richiede competenze elevate, senza contare che offre alti tassi di potenziale successo.
Le tecniche di phishing si sono evolute in modo significativo nel 2024 e ci aspettiamo che nel 2025 i criminali informatici continueranno a perfezionare i loro metodi per aggirare le misure di sicurezza tradizionali.
Saravanan Mohankumar, Manager Threat Analyst di Barracuda
