Torna al blog

Come funziona il phishing nel 2025: la moderna catena di attacco (e-mail, QR, deepfake e SaaS)

Di Autophish Team|Pubblicato il 9/6/2025
Cover image for Come funziona il phishing nel 2025: la moderna catena di attacco (e-mail, QR, deepfake e SaaS)

TL;DR

  • EscaCatturaFurto di sessione/tokenMovimento lateraleImpatto
  • La protezione dell'identità + sessione è fondamentale, e la strada più veloce verso una resilienza duratura è una pratica frequente e realistica che sviluppa l'istinto.

Introduzione

Se ti stai chiedendo come funziona il phishing nel 2025, ecco la risposta sincera: gli aggressori raramente si fermano alle password — vogliono la tua sessione. E se non riescono a fregarti via e-mail, proveranno con un codice QR sul tuo telefono, una schermata di consenso SaaS ben fatta o persino una videochiamata deepfake con il tuo “CFO”. Divertente (per loro).

Di seguito trovi la moderna catena di attacco che caratterizza la maggior parte degli incidenti, oltre ai punti in cui AutoPhish rende molto più difficile ingannarti.

1) L'esca: email, QR e "persone" spaventosamente convincenti

Il phishing arriva ancora tramite e-mail, ma gli URL sono i protagonisti. L'ultima ricerca Human Factor 2025 di Proofpoint mostra che gli URL sono usati circa quattro volte più degli allegati nelle e-mail dannose — e 4,2 milioni di minacce tramite codice QR (quishing) sono state segnalate solo nella prima metà del 2025 (panoramica del blog, pagina del rapporto Vol. 2).

Poi c’è la componente umana: video/voci deepfake. Il caso Arup — circa 25 milioni di dollari persi dopo una chiamata di gruppo deepfake — mostra come l'ingegneria sociale ora assuma le sembianze di un invito a una riunione perfettamente normale (Guardian, World Economic Forum). Le politiche che richiedono una verifica secondaria hanno sempre la meglio sulle "sensazioni".

Vuoi una guida pratica per individuare i trucchi nascosti in un singolo messaggio? Inizia con L'anatomia di una moderna email di phishing sul nostro blog.

2) Acquisizione: credenziali o consenso — entrambi aprono la porta

Gli hacker non chiedono sempre la tua password. Sempre più spesso, presentano una schermata di consenso SaaS/OAuth dall’aspetto legittimo (“Consenti a questa app di leggere la tua posta?”). Se clicchi su Consenti, ottengono un accesso API permanente — senza bisogno di password. Le linee guida di Microsoft sui consensi concessi in modo illecito spiegano come individuarli e porvi rimedio (Microsoft Learn Microsoft Learn 2; vedi anche il manuale di risposta agli incidenti relativi al consenso delle app).

I credential harvester vecchio stile funzionano ancora, spesso ospitati dietro servizi affidabili (moduli/archiviazione/file di sola lettura) per eludere i filtri. La serie Human Factor di Proofpoint e i post sulle minacce di Microsoft evidenziano il passaggio a una distribuzione incentrata sugli URL (Proofpoint, Microsoft).

3) Furto di sessioni/token: aggirare l'autenticazione a più fattori (MFA) con un piccolo man-in-the-middle

Ecco la novità del 2025: i toolkit Adversary-in-the-Middle (AiTM) si posizionano tra te e Microsoft/Google, fanno da proxy al login e rubano il tuo cookie di sessione dopo che hai superato con successo l'autenticazione a più fattori (MFA). L'autore dell'attacco poi riproduce quel cookie ed entra tranquillamente, senza password né secondo fattore. Consulta le analisi e le guide operative di Microsoft, oltre ai rapporti di Proofpoint e Talos (MSFT Security Blog; vedi anche:

4) Movimento laterale: una volta dentro, gli hacker si mettono a proprio agio

Con l'accesso alla casella di posta o al token, gli aggressori impostano regole per la posta in arrivo, registrano app OAuth dannose e si spostano per eseguire BEC, a volte per settimane prima che qualcuno se ne accorga (vedi le linee guida di Microsoft sugli avvisi di furto dei cookie di sessione: learn.microsoft.com). Per un quadro realistico (e alcune rapide misure di protezione), dai un'occhiata a [10 storie incredibili di phishing (e casi simili) dal 2024 al 2025](https://autophish.io/blog/10-wild-phishing-and-phish-adjacent-stories-from-2024-2025-including-important-lessons-learned from-2024-2025-including-important-lessons-learned).

5) Cosa lo ferma davvero? (Misure pratiche)

  • MFA resistente al phishing (passkey/FIDO2) e limitazione dei metodi di riserva poco sicuri (SMS/codici vocali). Linee guida in linea con CISA e NIST: Caso di successo della CISA (USDA), HISG della CISA sulle passkey e il Manuale sull'autenticazione resistente al phishing (IDManagement.gov). Per una spiegazione in parole semplici, dai un'occhiata alla panoramica di WIRED su come funzionano le passkey.
  • Gestione del consenso: blocca il consenso alle app OAuth rischiose, richiedi l'approvazione dell'amministratore e istruisci gli utenti su cosa richiede un'app (Microsoft Learn.
  • Controlli Anti‑AiTM: accesso condizionale con vincolo dei token ove possibile, revoca vigile delle sessioni e avvisi su regole insolite nella posta in arrivo (MSFT Token Theft Playbookicrosoft.com/en-us/security/operations/token-theft-playbook)).
  • Comportamento degli utenti: tratta i codici QR come link; non scansionarli da messaggi non richiesti. I dati di Proofpoint del 2025 mostrano che il quishing è ormai una pratica diffusa (blog di Proofpoint).

Dove AutoPhish fa davvero la differenza

AutoPhish è progettato proprio intorno a questi punti deboli (ed è conforme all’UE/GDPR fin dall’inizio):

  • Realismo basato sui ruoli. Generiamo esche sempre aggiornate per ruolo e settore (finanza, risorse umane, dirigenti), che coprono e-mail, campagne QR e richieste di consenso SaaS. Questo crea un istinto di difesa contro gli attacchi che le persone affrontano realmente. Scopri come lo facciamo in Spiegazione delle simulazioni di phishing as-a-service.
  • Simulazioni basate sulla kill chain. Non ci fermiamo a un semplice clic: insegniamo com'è fatta una schermata di consenso, perché è rischiosa e come reagire (vedi anche la nostra guida Anatomia di una moderna email di phishing).
  • Formazione just-in-time + report chiari che puoi presentare agli audit (conformi a NIS2/ISO). Se stai valutando i diversi formati, confronta Campagne automatizzate vs. manuali.
  • A misura di dipendente e conforme al GDPR. Opzioni per l'anonimizzazione/pseudonimizzazione, conservazione breve dei dati e misure di sicurezza compatibili con il comitato aziendale, perché la cultura e la conformità contano. Dettagli: Formazione sul phishing rispettosa della privacy.

Sei curioso di sapere quali sono i pro e i contro dell'open source rispetto al SaaS? Li abbiamo messi a confronto in Strumenti open source vs. soluzioni gestite.

Domande frequenti: come funziona il phishing

Un link di phishing può installare malware?
Sì. Un link può innescare un download drive-by o portare a un sito che rilascia malware, oppure può semplicemente rubare le tue credenziali. Mantieni il software aggiornato, usa una protezione endpoint affidabile ed evita di aprire link/allegati provenienti da fonti sconosciute (spiegazione di Emsisoft, Kaspersky).

Il phishing può avvenire per telefono?
Assolutamente sì. Il vishing (voce) e lo smishing (SMS) sono ormai molto diffusi, spesso potenziati dalla clonazione vocale tramite IA. Verifica tramite un canale conosciuto prima di agire (definizioni dall'FBI e FCC).

Cos'è il "quishing"?
Phishing tramite codice QR: un messaggio/manifesto contiene un codice QR che ti reindirizza a un sito dannoso, spesso sul tuo telefono, al di fuori delle protezioni aziendali. Tratta i codici QR come link; non scansionarli da messaggi non richiesti (vedi i dati di Proofpoint del 2025 sulle minacce QR: panoramica).

L'autenticazione a più fattori (MFA) blocca tutto il phishing?
L'MFA è essenziale, ma AiTM può rubare il cookie di sessione dopo l'MFA. Preferisci un'MFA resistente al phishing (passkey/FIDO2) e disattiva i metodi di fallback deboli (SMS/voce) dove possibile ([MSFT su AiTM](https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/; vedi anche https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/; Cisco Talos IR: https://blog.talosintelligence.com/ir-trends-q2-2025/)); Playbook CISA.

Cos'è il phishing del consenso OAuth, in una frase?
Un'app dannosa chiede il permesso di accedere ai tuoi dati; se clicchi su Consenti, mantiene l'accesso all'API fino a quando il consenso non viene revocato, anche senza la tua password (Microsoft Learn).

Vuoi spiegare tutto questo al tuo team, con esercitazioni pratiche? Avvia un programma mensile basato sui ruoli in pochi minuti con AutoPhish. Trasforma i tuoi dipendenti nel firewall.

Torna a tutti gli articoli

Avvia il tuo primo test di phishing in 10 minuti.

Registrazione gratuita — senza carta di credito. Prova Pro per 7 giorni quando sei pronto.

Inizia a simulareVuoi una demo per un team più grande? Parla con noi →