Torna al blog

10 storie incredibili di phishing (e simili) dal 2024 al 2025 – comprese importanti lezioni apprese

Di Autophish Team|Pubblicato il 8/28/2025
Cover image for 10 storie incredibili di phishing (e simili) dal 2024 al 2025 – comprese importanti lezioni apprese

Codici QR trasformati in credenziali di accesso. L'IA che si è spacciata per il tuo CFO su Zoom. Email "interne" arrivate dall'aldilà. Gli ultimi due anni sono stati un susseguirsi ininterrotto di truffe ingegnose, tanto sfacciate quanto geniali. Di seguito, esaminiamo dieci incidenti reali che hanno caratterizzato l'era e, cosa ancora più importante, traduciamo ciascuno di essi in semplici consigli pratici che puoi mettere in atto. Le fonti sono linkate ovunque, così puoi approfondire quando vuoi.

1) Change Healthcare: un portale, nessuna MFA e una lezione molto costosa (febbraio 2024)

Nel febbraio 2024, gli hacker hanno varcato la porta d’ingresso digitale di Change Healthcare utilizzando credenziali rubate: nessun allarme, nessun secondo fattore, solo un portale remoto senza MFA. La violazione ha finito per sfociare nel ransomware ALPHV/BlackCat e in un’interruzione a livello nazionale della fatturazione sanitaria. I dirigenti hanno poi dichiarato che il punto di accesso compromesso non aveva l'autenticazione a più fattori abilitata: un'omissione che sembra un colpo di scena che si vede arrivare da un chilometro di distanza (Reuters; contesto via Cybersecurity Dive; sintesi del settore dall'AHA e HHS OCR).

Perché ha funzionato? Perché un'app senza MFA è una chiave universale in un mondo inondato di log di infostealer e riutilizzo di password. La contromisura è incredibilmente poco sexy: MFA resistente al phishing (FIDO2) ovunque il pubblico possa vederti, idealmente dietro SSO + accesso condizionale, con i protocolli legacy disattivati. Aggiungi avvisi di anomalia di base — viaggi impossibili, ASN strani, orari insoliti — e avrai almeno una possibilità di intercettare i primi segnali.

2) Pepco Group: classico BEC, levigato come un diamante (febbraio 2024)

La filiale ungherese di Pepco ha perso circa 15,5 milioni di euro a causa di quello che sembra un business email compromise da manuale, ma eseguito in modo eccellente. Nessuna stravaganza di malware; solo messaggi convincenti, autorevolezza, urgenza e una procedura di pagamento che si fidava troppo della casella di posta (comunicato aziendale / PDF; copertura su Reuters e Help Net Security).

La soluzione è tanto culturale quanto tecnica: tratta i movimenti di denaro come una checklist in cabina di pilotaggio. Doppia approvazione, verifica tramite richiamata a numeri conosciuti, portali fornitori con 2FA e un periodo di attesa per le prime modifiche alle coordinate bancarie trasformano un “per favore, paga urgentemente” in “certo, dopo aver seguito la procedura”.”

3) La sala riunioni deepfake di Arup: quando i volti mentono (gennaio–maggio 2024)

Un dipendente del reparto finanziario di Arup ha partecipato a una videochiamata con il “CFO” e i colleghi. Avevano l’aspetto giusto, la voce giusta, i movimenti giusti… ed erano deepfake generati dall’IA. Circa 25 milioni di dollari sono usciti dall’edificio prima che la realtà prendesse il sopravvento (Financial Times; CFO Dive; contesto via CNN/Yahoo).

Abbiamo insegnato alle persone a “fidarsi del volto”. I deepfake distruggono quell’istinto. La soluzione pragmatica è una politica, non la paranoia: nessun rilascio di fondi solo sulla base di chiamate in diretta. Richiedi un'approvazione documentata più una richiamata verbale a un numero preso da una rubrica interna — mai dall'email o dall'invito alla riunione. Insegna ai team a individuare i segnali rivelatori (sincronizzazione labiale sballata, ritardi strani) e a usare canali secondari quando qualcosa non quadra.

4) Parigi 2024: le Olimpiadi del biglietto falso (metà 2024)

L'hype, la scarsità e un branding impeccabile creano le condizioni perfette per il phishing. In vista di Parigi 2024, le forze dell'ordine e i ricercatori hanno segnalato centinaia di siti fraudolenti che vendevano biglietti, pacchetti hospitality e "accesso prioritario". A un certo punto la gendarmeria francese ha contato 338 domini sospetti. Il copione era semplice: avvelenamento SEO, loghi clonati e un senso di urgenza che fa dimenticare le regole anche agli acquirenti più esperti (Proofpoint; avvisi ai consumatori tramite CBS News; avvisi ufficiali su Olympics.com).

Se il tuo staff viaggia o acquista biglietti per eventi, fai in modo che riceva subito le istruzioni di sicurezza: digita, non cliccare, e solo su URL ufficiali. Sul backend, fai attenzione ai typosquat e blocca i domini nuovi di zecca nelle categorie ad alto rischio per un periodo di riflessione. Un po' di attrito è meglio di una costosa FOMO.

5) Violazioni legate a Snowflake: una password per dominarli tutti (primavera-estate 2024)

Ticketmaster, Santander e altri hanno segnalato accessi ai dati tramite ambienti Snowflake dei clienti, con un cattivo ben noto: credenziali rubate e mancanza di MFA. Snowflake stessa ha affermato che la sua piattaforma non è stata violata; piuttosto, gli aggressori hanno utilizzato chiavi reali per accedere alle istanze dei clienti e hanno effettuato delle query (Dark Reading; The Verge; Google Threat Intelligence; Push Security).

Se i tuoi dati risiedono in un ambiente SaaS, considera l'identità come il tuo nuovo perimetro di rete. Metti SSO/SAML + MFA in prima linea, aggiungi liste di IP consentiti/VPN e implementa strumenti per rilevare volumi di query insoliti o improvvisi cambiamenti di ruolo. Chiavi e token dovrebbero essere sostituiti con la stessa regolarità con cui cambi le batterie in un rilevatore di fumo: regolarmente, prima che scoppi l'incendio.

6) La svolta di Star Blizzard su WhatsApp: il tuo codice QR è un token di sessione (fine 2024–gennaio 2025)

Star Blizzard, legata all’FSB, ha iniziato a spingere diplomatici e politici a scansionare codici QR di WhatsApp, trasformando un semplice passaggio di mano in un’appropriazione dell’account. La mossa ha abilmente aggirato i controlli sulle e-mail e spostato la conversazione su un'app compromessa dove la fiducia è alta e il controllo è basso (Microsoft; BleepingComputer; The Guardian).

Il cambio di mentalità è fondamentale: i codici QR spesso sono l'autenticazione. Insegna alle persone a considerare le scansioni come password, limita i collegamenti su dispositivi non gestiti tramite MDM e richiedi l'autenticazione a più fattori (MFA) con corrispondenza dei numeri, dove possibile. Inoltre, fai attenzione ai nuovi dispositivi collegati e ai salti di posizione sospetti: entrambi sono segnali premonitori.

7) Quishing su larga scala: Microsoft Sway come fabbrica di esche (agosto 2024)

Gli hacker hanno sfruttato Microsoft Sway per ospitare pagine di phishing con codici QR ben fatte che sono riuscite a superare i filtri grazie all’effetto alone del marchio. L'immagine QR nascondeva la vera destinazione e gli scanner non progettati per decodificare le immagini vedevano solo un file pulito e ben fatto ospitato da un marchio affidabile (BleepingComputer; ricerca originale di Netskope).

I difensori possono rispondere con le stesse armi: aggiungi la decodifica QR alla sicurezza e-mail/web, esamina attentamente i nuovi link Sway/Forms/Sites e proteggi l'identità con MFA senza password, accesso condizionale e valutazione continua dell'accesso. Sui dispositivi mobili, insegna alle persone come visualizzare l'anteprima degli URL prima di aprirli: una piccola abilità, un enorme vantaggio.

8) Trezor: quando il tuo servizio di assistenza diventa il social engineer (gennaio 2024 e giugno 2025)

Nel gennaio 2024, un portale di assistenza di terze parti collegato a Trezor ha reso pubblici i dati di contatto di circa 66.000 utenti: benzina sul fuoco per ulteriori attacchi di phishing. Entro giugno 2025, gli aggressori hanno fatto un passo in più, abusando del modulo di assistenza di Trezor per inviare risposte automatiche convincenti che sembravano abbastanza ufficiali da far battere ciglio anche ai veterani (BleepingComputer; BleepingComputer).

Il tuo stack di supporto fa parte del tuo perimetro di sicurezza. Trattalo di conseguenza: limita la frequenza delle risposte automatiche, applica un rigoroso allineamento DKIM/DMARC, controlla le risposte predefinite alla ricerca di linguaggio rischioso (soprattutto riguardo a "recupero" e criptovalute) e pubblica chiari avvisi di sicurezza in modo che i clienti sappiano cosa non chiederai mai loro di fare.

9) “Interno” senza compromessi: M365 Direct Send diventa sfacciato (giugno–agosto 2025)

Le campagne che abusavano di Direct Send di Microsoft 365 hanno reso possibile spoofare gli utenti interni senza dover effettivamente prendere il controllo di un account. Quel piccolo dettaglio è importante, perché “da IT@tuaazienda” ha ancora un peso psicologico, anche quando la storia dell’autenticazione è confusa (Varonis; sintesi via Dark Reading e Arctic Wolf).

Rafforza le tue regole sui connettori, limita l'ambito di Direct Send e preferisci l'SMTP autenticato dove possibile. Spiega alle persone che "interno" non è una parola magica; se un'e-mail cerca di trasferire denaro o credenziali, la verifica dovrebbe avvenire in un portale o tramite un canale secondario conosciuto, non tramite un comodo link blu.

10) Costruttori di siti basati sull'IA reclutati nella fabbrica di phishing: Lovable su larga scala (2025)

Infine, una trama molto da 2025: gli aggressori utilizzano costruttori di siti web basati sull'IA — Lovable in particolare — per sfornare decine di migliaia di pagine di phishing e malware con un design in linea con il marchio e tempi di consegna quasi istantanei. Domini nuovi più modelli accattivanti equivalgono a un flusso costante di clic prima che i sistemi di reputazione riescano a stare al passo (Proofpoint; copertura via BleepingComputer e TechRadar).

Dal punto di vista difensivo, amplia la tua analisi degli URL per includere il tempo trascorso dalla registrazione e la reputazione del builder/hosting, e non inserire automaticamente nella whitelist i domini nuovi di zecca solo perché sembrano professionali. Anche i criminali ora possono sembrare professionali: è un po' il loro mestiere.

Il modello che non puoi ignorare

In tutte e dieci le storie, continuano a emergere gli stessi fili conduttori. Le credenziali e i token di sessione valgono oro. Le lacune nell'autenticazione a più fattori (MFA) sono fatali. “Interno” è una sensazione, non un controllo. E l'IA è sia un accelerante che un idrante: accelera gli aggressori e travolge i difensori, ma ci offre anche una formazione e un rilevamento migliori se scegliamo di usarla.

Se in questo trimestre devi fare solo poche cose, fai queste: implementa l’MFA resistente al phishing e abbandona l’autenticazione legacy; aggiungi la decodifica QR al tuo stack e-mail/web; organizza esercitazioni realistiche su BEC e deepfake per il reparto finanziario e i dirigenti (con callback obbligatori); e inserisci i flussi di lavoro di assistenza, marketing ed eventi direttamente nel tuo modello di minaccia con limiti di frequenza, allineamento DMARC e avvisi preventivi.

E se vuoi esercitarti in sicurezza, è proprio quello che fa per te. AutoPhish può ricreare le tendenze di cui hai appena letto — quishing, esche in stile IA, spoofing “interno” e BEC meticoloso — per poi seguire con una formazione a piccole dosi che rimane davvero impressa. Perché vedere il trucco una volta, in un ambiente sicuro, è il modo per fermarlo quando conta davvero.

Torna a tutti gli articoli

Avvia il tuo primo test di phishing in 10 minuti.

Registrazione gratuita — senza carta di credito. Prova Pro per 7 giorni quando sei pronto.

Inizia a simulareVuoi una demo per un team più grande? Parla con noi →