Stiamo vivendo un cambio di paradigma, il phishing non è più un attacco generico e rumoroso, ma una campagna personalizzata, disarmante e subdola. Le email sembrano provenire da colleghi, enti, brand o perfino intelligenze artificiali, in realtà siamo di fronte a campagne estremamente mirate, plasmate sui dati che lasciamo quotidianamente in rete e spesso lo facciamo senza accorgercene.
Il CSIRT Italia ha recentemente individuato una sofisticata campagna definita “phishing adattivo”, in breve, un link malevolo genera in automatico, una pagina che inserisce il logo e i riferimenti reali dell’organizzazione bersaglio, utilizzando servizi legittimi (AWS, IPFS, Clearbit). La vittima, credendola reale, fornisce credenziali e viene ingannata ulteriormente con messaggi d’errore che risultano a tutti gli effetti plausibili e quindi viene motivata a riprovare e cadere nella trappola.
Il problema più concreto è che il phishing non è più appannaggio di hacker professionisti, perché esistono interi kit pronti all’uso, come Tycoon 2FA, EvilProxy e Sneaky 2FA, tool che includono moduli per bypassare autenticazioni a due fattori, dashboard in tempo reale e supporto tecnico. Il risultato? Oltre un milione di attacchi PhaaS nei primi due mesi del 2025
Secondo Zscaler, i criminali adesso sfruttano GenAI per generare e-mail precise al millesimo, spoof di video, deepfake vocali e siti web clonati in pochi comandi.
In Australia, l’ufficio delle tasse (ATO) segnala un aumento del 300 % nelle truffe via e‑mail legate alla dichiarazione dei redditi, con phishing personalizzato attraverso email “perfette” generate da
Negli USA, una campagna di spear phishing ha usato deepfake audio per fingere di essere Susie Wiles, collaboratrice di Trump, tentando di ingannare contatti politici. Un report di SecurityWeek segnala un aumento del 17 % dei “polymorphic phishing”, ogni email è unica, cambia leggermente e aggira così filtri e blocklist
Il sistema sfrutta AI per creare numerose varianti indistinguibili, e se la vittima clicca ma non digita le credenziali, invia mail di follow-up. Molte campagne hanno preso di mira grandi aziende, Facebook, OpenAI, servizi PagoPA in Italia
E allora come difendersi davvero?
I primi ad intervenire dovrebbero essere i professionisti del settore, nello specifico le aziende dovrebbero rimuovere o limitare l’esposizione di informazioni sensibili via privacy settings, articoli, social network, ma anche agire attivamente sulla formazione del personale simulando attacchi adattivi e deepfake internamente, per affinare il livello di consapevolezza reale e potenziare la sicurezza del sistema mail con modelli AI che analizzano il messaggio e non solo firma o dominio.
Inoltre è importante bloccare URL che includono parametri simili a cognomi o email degli utenti, usa app generate TOTP o hardware token e prevedere meccanismi anti-sessioni hi-jacking, come alert su login da nuovi dispositivi o sessioni simultanee.
Come sempre la collaborazione pubblico‑privato è alla base della sicurezza, ogni utente può segnalare alla polizia postale fiscali ogni attacco. Solo l’informazione condivisa rafforza la difesa collettiva perché solo chi sviluppa una resilienza digitale avanzata e proattiva potrà difendersi e prepararsi alla prossima evoluzione, perché l’attaccante non dorme mai.
