SCAN YOUR SITE

Phishing as a service 2025: come l’IA rende più facile truffare

21/07/2025
Phishing as a service 2025: come l’IA rende più facile truffare

In questo periodo storico, troviamo intelligenza artificiale in ogni device e situazione, con ChatGpt, Gemini ed affini consultati per ogni situazione perfino da cellulare, oppure video ed immagini generati senza posa ad affollare i social con improbabili situazioni.

Un tale sdoganamento di massa rende implicito che un uso pionieristico dell’AI sia già stato eseguito nel mondo criminale da tempo ( ricordate WormGPT?!) e che ora le evoluzioni on-demand per il pubblico malintenzionato sia sempre più efficaci e disponibili.

Truffare e raggirare non è mai stato così semplice: dal creare esche social per indurre ignari individui iniziano a fare doni cedendo alle lusinghe di improbabili fanciulle elaborate dalla AI , fino all’uso articolato in campagne di phishing altamente remunerative.

Dopo una lieve contrazione temporale, infatti il phishing si conferma come una delle minacce più pervasive e redditizie nel panorama cyber.
Partendo dai dati forniti da FBI nel 2024 Internet Crime Report dell’IC3, phishing e spoofing, restano la tipologia di reato più segnalata: 193.407 reclami solo nel 2024 in USA.
Comparato con i dati CSIRT di Maggio 2025 solo per l’Italia, rispetto allo stesso periodo dell’anno prima abbiamo un notevole 25% in più di reclami, tentativi e segnalazioni.

L’aumento del fenomeno è alimentato dall’emergere di un ecosistema criminale sempre più sofisticato: le piattaforme Phishing-as-a-Service o PhaaS, che permettono di ottenere risultati anche a pubblici sprovvisti di elevate competenze tecniche.
Solo nei primi due mesi del 2025 sono stati rilevati oltre un milione di attacchi provenienti da queste piattaforme, con picchi in cui il 25% delle email analizzate risultavano malevole.

Servizi completi che si presentano pronti all’uso,con tool tecnici configurati aggiornamenti continui per eludere i filtri antispam e dashboard in tempo reale per tracciare l’efficacia delle campagne.
Seguendo i modelli di business di aziende legittime, alcune offrono persino assistenza clienti, canali Telegram dedicati e video tutorial: elementi tipici di un modello startup, ma declinati in ottica criminale.

Una delle caratteristiche chiave del modello PhaaS è la modularità operativa.
Le piattaforme si occupano dello sviluppo e mantenimento dei kit di phishing, mentre i clienti si limitano a utilizzarli, spesso con competenze tecniche minime.
Una separazione dei ruoli che come nel rapporto produttore-utente di sistemi generativi AI, favorisce l’innovazione, riduce i rischi individuali e consente una rapida evoluzione dei servizi offerti.

I dati trafugati vengono poi venduti su marketplace nel dark web o rivenduti ad altri gruppi specializzati in estorsione, ransomware o spionaggio industriale.
Si tratta di una filiera criminale strutturata, con logiche scalari sulla base delle competenze, ruoli ben definiti e logiche del tutto simili a quelle del mondo reale.

Ma perche sono così pericolose?

Le piattaforme Phishing-as-a-Service stanno trasformando il phishing in un business criminale industrializzato ed accessibile, con soluzioni rapide per aggirare i sistemi di autenticazione meno strutturati e con una evoluzion che le rende più veloci del pubblico medio, che impiega perfino anni a fare propria la consapevolezza e reattività alle minacce.

Tra i tool attuali più pericolosi troviamo:

Tycoon 2FA

Specializzata nel bypassare dell’autenticazione multifattoriale, utilizza reverse proxy per sottrarre credenziali e token in tempo reale. È apprezzata per la sua interfaccia semplice e per la rapidità di aggiornamento contro i filtri di sicurezza.

EvilProxy

Una delle piattaforme più mature e sofisticate. Offre kit per i principali servizi cloud (Microsoft 365, Google, GitHub, ecc.) e supporta l’intercettazione dei token MFA. Secondo vari analisti, è utilizzata anche da gruppi APT e attori nation-state.

Sneaky 2FA

Condivide molte caratteristiche con Tycoon, ma è progettata per l’automazione di campagne su larga scala.
Offre tecniche di mascheramento avanzato, strumenti anti-analisi e monitoraggio geolocalizzato dei risultati delle campagne.

Haozi

Piattaforma cinese in rapida ascesa, nota per il branding aggressivo (inclusa una mascotte in stile cartoon). Secondo indiscrezioni, avrebbe raggiunto 1.700 utenti attivi in pochi giorni.
I suoi kit, venduti a circa 2.000$ l’anno, includono funzioni avanzate per il bypass dei sistemi di sicurezza e MFA, con un supporto continuo via Telegram.

Astaroth

Originariamente individuata come malware modulare, Astaroth si è evoluta in una piattaforma PhaaS completa, con particolare attenzione al furto di credenziali e sessioni di autenticazione.
Utilizza tecniche fileless e living-off-the-land (LotL) per evitare il rilevamento, ed è stata spesso impiegata in campagne mirate contro enti governativi e grandi aziende in Europa e Sud America.
In alcuni casi è stata collegata a infrastrutture controllate da gruppi APT.

Sistemi di questo tipo acquisiscono poi ulteriore vantaggio grazie alla AI generativa, vero e proprio acceleratore per campagne phishing su larga scala

L’utilizzo di modelli linguistici generativi permette infatti di produrre email credibili e personalizzate in pochi secondi, in numero considerevole, aumentando drasticamente la probabilità di successo.
Queste tecniche, un tempo accessibili solo a threat actor avanzati, sono ora disponibili “as-a-service” anche per attori meno esperti ma pronti a spendere qualche migliaio di dollari in criptovalute.

PhaaS e MFA: un falso senso di sicurezza

L’autenticazione multifattoriale (MFA), da sempre considerata uno dei pilastri della sicurezza digitale, di fronte ad alcune di queste minace può non essere più sufficiente da sola.
Le piattaforme PhaaS più evolute intercettano i token MFA in tempo reale, rendendo scarsamente efficaci anche soluzioni come OTP o notifiche push.

La sfide si presenta quindi nel ripensare le strategie di autenticazione, puntando su soluzioni multiple e più robuste come ad esempio:

  • Adozione di Token hardware fisici con standard elevati
  • Autenticazione biometrica
  • Impiego di controlli comportamentali avanzati

L’idea più accreditabile è una prevenzione multilivello, con investimenti in formazione e monitoraggio avanzato unendo difese tecniche avanzate, verifiche di identità e consapevolezza.

Oltre la truffa economica, cosa rischiamo con la sottrazione dati?

Le credenziali rubate tramite phishing vengono rivendute nel dark web, alimentando un mercato secondario maturo ed estremamente redditizio.
I dati raccolti possono finire nelle mani di gruppi con le necessarie competenze e disponibilità economiche per acquistarli, elaborarli ed impiegarli per bersagli di elevato interesse o remunerazione, magari risalendo la catena di fornitura o possibili gradi di fiducia familiari.

Varrà sempre di più la pena valutare meglio la sicurezza di ogni account, anche quello domestico..

#Phishing #Cybersecurity #PhaaS #Cariddi #Cyberthreat

#cybersecurity #cyberthreat #PhaaS #phishing

Potrebbe interessarti anche...

PoisonSeed: autenticazioni multi fattore a rischio
29/07/2025
PoisonSeed: autenticazioni multi fattore a rischio

Come vengono aggirate le autenticazioni multi fattore su chiave FIDO2 PoisonSeed non è un attacco...

Leggi di più
Attacchi zero-day su SharePoint: Allarme rosso
23/07/2025
Attacchi zero-day su SharePoint: Allarme rosso

Ci risiamo: “Zero-Day”.E deve essere allarme rosso.Ogni nuova vulnerabilità scoperta, ogni exploit ancora privo di...

Leggi di più
Lumma Stealer: smantellare l’economia del crimine informatico attraverso azioni coordinate
12/06/2025
Lumma Stealer: smantellare l’economia del crimine informatico attraverso azioni coordinate

Il 13 maggio 2025 segna una svolta significativa nella lotta globale alla criminalità informatica. Microsoft,...

Leggi di più
Cyber Focus: prossime tappe NIS2 – Ue 2022/2555
27/05/2025
Cyber Focus: prossime tappe NIS2 – Ue 2022/2555

Prossime tappe del recepimento della direttiva

Leggi di più