Phishing lo strumento più efficace nell'arsenale dei criminali informatici. Nonostante decenni di campagne di sensibilizzazione sulla sicurezza e miliardi spesi per il filtraggio delle e-mail, gli aggressori continuano a raccogliere credenziali, distribuendo malwaree prosciugando i conti aziendali attraverso messaggi fraudolenti. Secondo il rapporto IBM Cost of Data Breach Report 2025, phishing 16% di tutte le violazioni di dati confermate, con un costo medio di 4,8 milioni di dollari per incidente. Con 3,4 miliardi phishing inviate ogni giorno, comprendere come funzionano questi attacchi è essenziale sia per i professionisti della sicurezza che per gli utenti aziendali.
Questa guida tratta tutto ciò che occorre sapere sul phishing: i diversi tipi di attacchi, come individuarli e cosa fare quando la prevenzione fallisce.
Phishing un tipo di attacco di ingegneria sociale in cui i criminali informatici inviano comunicazioni fraudolente che sembrano provenire da una fonte attendibile, progettate per indurre i destinatari a rivelare informazioni sensibili, cliccare su link dannosi o installare software dannosi. Il termine combina "fishing" (pesca) per le vittime con "phreaking", la prima sottocultura di hacking telefonico che ha ispirato molte tecniche di attacco digitale.
A differenza degli exploit puramente tecnici che prendono di mira le vulnerabilità del software, phishing la psicologia umana. Gli aggressori creano messaggi che suscitano reazioni emotive come urgenza, paura o curiosità per aggirare il processo decisionale razionale. Ciò rende phishing efficace indipendentemente dalle difese tecniche di un'organizzazione.
MITRE ATT&CK classifica phishing tecnica T1566 nella sezione Accesso iniziale, con sottotecniche che riguardano allegati (T1566.001), link (T1566.002), servizi (T1566.003) e phishing vocale phishing T1566.004). Comprendere dove phishing nella catena di attacchi informatici aiuta i difensori a costruire protezioni a più livelli.
La portata del phishing il suo impatto sulle attività aziendali richiedono l'attenzione dei team di sicurezza. Considerate queste statistiche:
Phishing dallo spam in modo sostanziale. Lo spam è costituito da e-mail indesiderate inviate in massa che possono essere fastidiose ma che generalmente non sono dannose. Phishing deliberatamente ingannevole, progettato per rubare credenziali, informazioni finanziarie o accedere a sistemi. Tutte le e-mail phishing indesiderate, ma non tutte le e-mail indesiderate sono phishing.
Comprendere il ciclo di vita phishing aiuta le organizzazioni a sviluppare difese efficaci. Gli aggressori seguono un processo coerente indipendentemente dalla tecnica specifica utilizzata.
1. Ricerca e ricognizione
Gli aggressori raccolgono informazioni sui loro obiettivi. Per le campagne di massa, queste informazioni potrebbero essere minime. Per phishing spear phishing mirato, gli aggressori raccolgono informazioni dai profili LinkedIn, dai siti web aziendali e dai social media per comprendere le gerarchie organizzative, gli stili di comunicazione e le attuali attività commerciali.
2. Realizzazione dell'esca
Utilizzando le informazioni raccolte, gli aggressori creano messaggi convincenti. Registrano domini simili (come "micros0ft.com" con uno zero), clonano modelli di e-mail legittimi e scrivono testi che rispecchiano le comunicazioni aziendali autentiche.
3. Consegna
Il messaggio dannoso raggiunge il destinatario tramite e-mail, SMS, telefonata, social media o altri canali. phishing moderno phishing utilizza più canali contemporaneamente per aumentare la propria credibilità.
4. Sfruttamento
La vittima compie l'azione desiderata: clicca su un link, apre un allegato, fornisce le credenziali o trasferisce fondi. Le pagine di raccolta delle credenziali acquisiscono nomi utente e password, mentre gli allegati dannosi possono installare backdoor o ransomware.
5. Esfiltrazione dei dati e persistenza
Gli aggressori utilizzano le credenziali raccolte per accedere ai sistemi, spesso causando il furto degli account. Possono stabilire meccanismi di persistenza, sottrarre dati o lanciare attacchi successivi contro altri obiettivi.
Phishing perché sfrutta aspetti fondamentali della psicologia umana. I professionisti della sicurezza devono comprendere questi principi per sviluppare programmi di formazione efficaci.
L'autorità favorisce la conformità. I messaggi che sembrano provenire da dirigenti, reparti IT o fornitori affidabili godono di una credibilità implicita. Quando il "CEO" richiede un bonifico urgente, i dipendenti esitano a metterlo in discussione.
L'urgenza e la scarsità prevalgono su un'analisi attenta. Frasi come "il tuo account verrà sospeso entro 24 ore" o "offerta limitata nel tempo" spingono i destinatari ad agire immediatamente senza verificare.
La paura motiva la risposta. Le minacce di chiusura dell'account, azioni legali o violazioni della sicurezza creano ansia che offusca il giudizio.
La prova sociale crea fiducia. Recensioni false, testimonianze e riferimenti a colleghi fanno sembrare legittime richieste fraudolente.
Secondo una ricerca condotta da Push Security, la stragrande maggioranza degli phishing utilizza ora tecniche di proxy inverso per aggirare l'autenticazione multifattoriale in tempo reale. Questo approccio di tipo "adversary-in-the-middle" cattura i cookie di sessione mentre le vittime inseriscono le credenziali, consentendo agli aggressori di dirottare le sessioni autenticate anche quando è abilitata l'autenticazione multifattoriale.
Phishing evoluto ben oltre le semplici truffe via e-mail. Gli aggressori moderni utilizzano canali e tecniche multiple, con un phishing su tre che ora viene sferrato al di fuori della posta elettronica. Comprendere ogni tipo di attacco aiuta le organizzazioni a costruire difese adeguate.
Tabella: Confronto tra i tipi phishing
Le e-mail distribuite in massa si spacciano per entità affidabili come banche, servizi popolari o società di consegna. Queste campagne privilegiano il volume rispetto alla sofisticatezza, inviando milioni di messaggi con contenuti generici. Sebbene i tassi di successo siano bassi, la portata rende redditizia per gli aggressori anche una conversione minima.
Gli attacchi mirati si concentrano su individui o organizzazioni specifici. Gli aggressori ricercano i loro obiettivi e creano messaggi personalizzati facendo riferimento a progetti reali, colleghi o attività recenti. Questa personalizzazione aumenta notevolmente le percentuali di successo rispetto al phishing di massa.
La differenza tra phishing spear phishing la personalizzazione. phishing standard phishing messaggi generici phishing un ampio spettro di destinatari. phishing spear phishing informazioni specifiche sul bersaglio per creare comunicazioni credibili e contestualizzate.
Gli attacchi mirati ai dirigenti perseguono risultati di alto valore. Le campagne di whaling spesso prevedono sofisticati scenari di compromissione delle e-mail aziendali in cui vengono richiesti bonifici bancari o dati sensibili. Secondo una ricerca di LevelBlue, nel 2025 la richiesta media di bonifico bancario BEC ha raggiunto i 24.586 dollari.
Gli attacchi BEC impersonano dirigenti interni o fornitori esterni per richiedere bonifici bancari fraudolenti o l'accesso ai dati. Gli aggressori possono compromettere account legittimi o utilizzare domini contraffatti convincenti. Gli attacchi BEC sono aumentati del 15% nel 2025, con perdite che hanno raggiunto i 2,77 miliardi di dollari secondo il rapporto FBI IC3 2024.
Lo smishing consiste nell'invio di messaggi phishing SMS. Le truffe relative alla consegna di pacchi, gli avvisi bancari e le richieste di codici di verifica sono esche comuni. Lo smishing è aumentato del 328% nel 2024, poiché gli aggressori hanno sfruttato la fiducia intrinseca che gli utenti ripongono nelle comunicazioni mobili.
Lo smishing differisce dal phishing via e-mail phishing per quanto riguarda il canale di consegna. I messaggi SMS hanno tassi di apertura più elevati e gli utenti sono meno abituati a controllare attentamente i messaggi di testo alla ricerca di frodi. Lo spazio di visualizzazione limitato sui dispositivi mobili rende inoltre più difficile verificare le informazioni sul mittente.
phishing voice phishing telefonate in cui gli aggressori si fingono addetti all'assistenza tecnica, rappresentanti bancari o funzionari governativi. Lo spoofing dell'ID chiamante fa sembrare che le chiamate provengano da numeri legittimi. Gli attacchi di vishing sono aumentati del 442% tra l'inizio e la fine del 2024, poiché gli aggressori hanno combinato le telefonate con la raccolta sincronizzata di credenziali basata sul web.
Il vishing nella sicurezza informatica si riferisce specificatamente agli attacchi di ingegneria sociale basati sulla voce, progettati per estrarre credenziali, informazioni finanziarie o accesso al sistema. Recenti campagne come l'operazione di vishing ShinyHunters hanno preso di mira oltre 100 organizzazioni, impersonando il personale IT e indirizzando le vittime verso siti di raccolta delle credenziali.
Il clone phishing le e-mail legittime ricevute in precedenza dal destinatario, sostituendo i link o gli allegati con versioni dannose. Il formato familiare e il riferimento a interazioni precedenti rendono questi attacchi difficili da individuare.
Gli attacchi basati sui social media prendono di mira gli utenti che lamentano online le aziende. Gli aggressori creano account falsi del servizio clienti e rispondono alle lamentele con phishing camuffati da risorse di supporto.
I codici QR dannosi indirizzano le vittime verso phishing . Il quishing è aumentato del 25% su base annua, poiché gli aggressori hanno inserito codici QR dannosi nei parchimetri, nei menu dei ristoranti, nelle fatture false e negli allegati e-mail. Nel gennaio 2026, l'FBI ha emesso un avviso sugli hacker nordcoreani Kimsuky che utilizzano codici QR per phishingare i dipendenti del governo statunitense e dei think tank.
Gli attacchi di pharming utilizzano il DNS poisoning o reindirizzamenti dannosi per indirizzare le vittime verso siti fraudolenti anche quando inseriscono URL corretti. A differenza di altri phishing , il pharming non richiede alla vittima di cliccare su un link dannoso. Le vittime navigano verso quello che credono essere un sito legittimo e inseriscono inconsapevolmente le proprie credenziali in una pagina controllata dall'autore dell'attacco.
La differenza tra pharming e phishing il vettore di attacco. Phishing sull'inganno degli utenti affinché clicchino su link dannosi. Il pharming manipola l'infrastruttura che traduce i nomi di dominio in indirizzi IP, reindirizzando automaticamente gli utenti.
L'analisi degli attacchi effettivi illustra l'impatto reale del phishing fornisce insegnamenti utili per chi si occupa della difesa.
Change Healthcare (2024): un attacco di raccolta delle credenziali ha portato a una delle più grandi violazioni dei dati sanitari della storia. Il gruppo di ransomware ALPHV/BlackCat ha ottenuto l'accesso tramite credenziali phishing, con un impatto finale su oltre 100 milioni di utenti. L'incidente ha dimostrato come la compromissione di una singola credenziale possa avere un impatto catastrofico sull'organizzazione.
Pepco Group (2024): l'azienda europea di vendita al dettaglio ha perso 15,5 milioni di euro a causa di un phishing rivolto alla sua filiale ungherese. Gli aggressori hanno utilizzato tecniche avanzate di ingegneria sociale per aggirare le procedure di verifica, sottolineando la necessità di un'approvazione multipla per i trasferimenti finanziari.
Campagna di vishing ShinyHunters (2026): phishing vocale hanno preso di mira oltre 100 organizzazioni, tra cui Panera Bread, SoundCloud e Match . Gli aggressori hanno impersonato il personale IT, indirizzato le vittime verso siti di raccolta credenziali con formato company-sso.com e acquisito i codici MFA in tempo reale.
Le organizzazioni di servizi finanziari ricevono il 18,3% di tutti phishing , seguite dai fornitori di SaaS e webmail con il 18,2% e dall'e-commerce con il 14,8%. Le organizzazioni sanitarie sono particolarmente esposte a rischi elevati, con phishing di base del 41,9% e i costi medi di violazione più elevati, pari a 7,42 milioni di dollari, secondo una ricerca IBM.
I team di sicurezza devono garantire che i dipendenti siano in grado di riconoscere questi modelli di attacco frequenti:
Sviluppare competenze phishing all'interno della vostra organizzazione riduce significativamente i rischi. Secondo una ricerca condotta da Hoxhunt, una formazione costante migliora nel tempo l'efficacia delle segnalazioni di minacce dal 34% al 74-80%.
Fai attenzione a questi sette phishing comuni phishing :
SMS (smishing): prestare attenzione agli URL abbreviati che nascondono la vera destinazione, ai messaggi provenienti da numeri sconosciuti che dichiarano di appartenere a entità note e alle richieste di richiamare numeri non elencati sui siti web ufficiali.
Telefono (vishing): prestare attenzione alle pressioni affinché si agisca immediatamente, alle richieste di accesso remoto al computer, all'ID chiamante che mostra numeri affidabili con voci sconosciute e alle richieste di verificare informazioni che il chiamante dovrebbe già possedere.
Social media: verifica gli account tramite canali ufficiali prima di contattare il servizio clienti, evita di cliccare sui link contenuti nei messaggi diretti e diffida delle offerte di assistenza non richieste che seguono reclami pubblici.
Codici QR: quando possibile, visualizza l'URL in anteprima prima di procedere, presta attenzione ai codici QR presenti in posizioni inaspettate ed evita di scansionare codici che sembrano manomessi o sovrapposti a codici originali.
phishing efficace phishing richiede difese multilivello che combinino controlli tecnici, formazione sulla consapevolezza della sicurezza e processi organizzativi.
La sicurezza del gateway e-mail filtra i messaggi dannosi prima che raggiungano le caselle di posta. Le soluzioni moderne utilizzano l'apprendimento automatico per rilevare minacce precedentemente sconosciute, andando oltre la semplice corrispondenza delle firme.
I protocolli di autenticazione delle e-mail verificano l'identità del mittente. SPF verifica che i server di invio siano autorizzati dal proprietario del dominio. DKIM firma crittograficamente i messaggi per rilevare eventuali manomissioni. DMARC collega SPF e DKIM e specifica come i server di ricezione devono gestire gli errori. Come raccomandato dalle linee guida CISA, le organizzazioni dovrebbero passare da DMARC p=none (monitoraggio) a p=reject (applicazione). La guida all'autenticazione delle e-mail di Cloudflare fornisce indicazioni dettagliate sull'implementazione.
ResistentePhishing MFA utilizza FIDO2 o passkey anziché codici SMS o TOTP che gli aggressori possono intercettare tramite tecniche di tipo "man in the middle". L'autenticazione a più fattori tradizionale offre una certa protezione, ma phishing moderni phishing la aggirano regolarmente.
Il filtraggio degli URL e il sandboxing analizzano i link e gli allegati in ambienti isolati prima della consegna.
Le soluzioni diEndpoint e rispostaEndpoint rilevano malware tramite phishing riusciti.
Il rilevamento e la risposta di rete identifica le attività post-compromissione, comprese le comunicazioni di comando e controllo e l'esfiltrazione dei dati.
Rilevamento delle minacce all'identità e risposta monitoraggio di modelli di autenticazione sospetti e abuso delle credenziali.
Adottare un approccio zero trust riduce l'impatto del phishing riuscito phishing ciò a cui possono accedere le credenziali compromesse.
La formazione rimane la phishing più efficace phishing in termini di costi. Secondo il rapporto KnowBe4 2025 Phishing Industry Benchmarking Report, le organizzazioni riducono phishing dal 33,1% iniziale a solo il 4,1% dopo 12 mesi di formazione regolare con simulazioni, con un miglioramento dell'86%.
I programmi di formazione efficaci includono:
Le organizzazioni sanitarie richiedono particolare attenzione dato il loro tasso di vulnerabilità di base del 41,9%, il più alto tra tutti i settori esaminati.
I controlli tecnici e la formazione devono essere supportati da processi chiari:
Una risposta rapida agli incidenti limita i danni quando la prevenzione fallisce. Sapere cosa fare se si è cliccato su un phishing può fare la differenza tra un incidente minore e una violazione grave.
1. Disconnettiti dalla rete se sospetti malware . Ciò limita la capacità dell'autore dell'attacco di muoversi lateralmente o di sottrarre dati.
2. Modifica immediatamente le password da un dispositivo che sai essere pulito, iniziando dall'account compromesso e da tutti gli account che utilizzano credenziali identiche o simili.
3. Segnalare al team IT/sicurezza tutti i dettagli di quanto accaduto, compreso il contenuto del messaggio, eventuali link cliccati e informazioni fornite.
4. Abilita l'autenticazione a più fattori (MFA) su tutti gli account, se non è già stata configurata.
5. Documentare tutto, compresi timestamp, screenshot e azioni intraprese.
I team di sicurezza dovrebbero avviare procedure di risposta strutturate:
La FTC fornisce ai consumatori una guida sulle misure da adottare in caso di phishing .
Dopo aver contenuto la minaccia immediata:
Phishing evoluto notevolmente dalle sue origini a metà degli anni '90, quando gli hacker prendevano di mira gli utenti AOL con messaggi falsi relativi ai loro account. Secondo la cronologia del phishing stilata da Cofense, i primi phishing documentati risalgono al 1994 circa.
Le tappe fondamentali includono:
Gli aggressori sfruttano sempre più spesso l'intelligenza artificiale per creare phishing personalizzati e più convincenti su larga scala. Per approfondire queste minacce emergenti, consulta la sezione phishing basati sull'intelligenza artificiale.
Vectra AI secondo una filosofia basata sul presupposto che "il compromesso è inevitabile". Gli hacker più abili riusciranno a penetrare nei sistemi nonostante i migliori sforzi di prevenzione. La chiave è individuarli rapidamente.
Anziché affidarsi esclusivamente al blocco phishing al gateway, Vectra AI sul rilevamento del comportamentophishing . Una volta raccolte le credenziali, gli aggressori devono utilizzarle. Una volta malware , questo deve comunicare. Queste attività generano segnali che il rilevamento comportamentale è in grado di identificare.
Attack Signal Intelligence il comportamento su rete, identità, cloud ed endpoint per individuare le minacce reali attraverso un sistema avanzato di rilevamento delle minacce. Questo approccio dà priorità al segnale rispetto al rumore, aiutando i team di sicurezza a concentrarsi sugli attacchi attivi piuttosto che affogare in una marea di avvisi.
Le funzionalità di rilevamento e risposta della rete identificano le comunicazioni di comando e controllo, i movimenti laterali e l'esfiltrazione dei dati che seguono phishing riuscito. In combinazione con il rilevamento incentrato sull'identità, le organizzazioni ottengono visibilità sull'intera catena di attacco, indipendentemente dal punto di ingresso iniziale.
Phishing un tipo di attacco informatico in cui i criminali inviano messaggi fraudolenti progettati per indurti a rivelare informazioni sensibili come password, numeri di carte di credito o dati personali. Questi messaggi spesso sembrano provenire da fonti affidabili come la tua banca, il tuo datore di lavoro o servizi online popolari. L'obiettivo è quello di sfruttare la fiducia umana piuttosto che le vulnerabilità tecniche. Gli aggressori potrebbero voler rubare denaro direttamente, raccogliere credenziali per accedere agli account o installare malware attacchi futuri.
I tipi più comuni includono phishing via e-mail phishing attacchi distribuiti su larga scala), phishing spear phishing rivolto a individui specifici), il whaling (rivolto ai dirigenti), il business email compromise (che impersona il personale interno o i fornitori), lo smishing (basato su SMS) e il vishing (chiamate vocali). Le tecniche più recenti includono il quishing (basato su codici QR) e phishing angler phishing basato sui social media). Ogni tipo sfrutta canali e relazioni di fiducia diversi, ma tutti si basano sull'ingegneria sociale per manipolare le vittime e indurle a compiere azioni dannose.
Presta attenzione a diversi segnali di allarme: linguaggio urgente o minaccioso che richiede un'azione immediata, saluti generici quando il mittente dovrebbe conoscere il tuo nome, indirizzi del mittente che non corrispondono all'organizzazione dichiarata, errori ortografici e grammaticali insoliti per comunicazioni professionali, link che mostrano destinazioni diverse quando ci passi sopra con il mouse, allegati inaspettati e richieste di informazioni sensibili. In caso di dubbio, contatta il presunto mittente attraverso un canale legittimo conosciuto piuttosto che rispondere o cliccare sui link.
Se sospetti malware installato malware , disconnettiti immediatamente dalla rete. Modifica le tue password da un dispositivo che sai essere pulito, iniziando dall'account compromesso e da tutti gli account che utilizzano le stesse credenziali. Abilita l'autenticazione a più fattori su tutti gli account. Segnala l'incidente al tuo team IT o di sicurezza fornendo tutti i dettagli di quanto accaduto. Monitora i tuoi account per individuare eventuali attività sospette e valuta la possibilità di inviare segnalazioni di frode alle agenzie di credito se le informazioni finanziarie potrebbero essere state compromesse.
Una prevenzione efficace combina controlli tecnici e fattori umani. Implementa protocolli di filtraggio e autenticazione delle e-mail (SPF, DKIM, DMARC). Implementa l'autenticazione a più fattori (MFA) phishing utilizzando FIDO2 o passkey anziché codici SMS. Conduci regolarmente corsi di formazione sulla sicurezza con phishing simulate phishing . Stabilisci procedure di verifica per le richieste sensibili, in particolare i trasferimenti finanziari. Crea meccanismi di segnalazione chiari che consentano ai dipendenti di segnalare facilmente i messaggi sospetti senza timore di punizioni.
phishing standard phishing grandi gruppi con messaggi generici, sperando che alcuni destinatari cadano nella trappola. phishing spear phishing individui specifici utilizzando informazioni personalizzate sulla vittima, il suo ruolo e la sua organizzazione. Gli aggressori ricercano phishing spear phishing attraverso LinkedIn, siti web aziendali e social media per creare messaggi credibili che fanno riferimento a progetti, colleghi o attività reali. phishing spear phishing tassi di successo significativamente più elevati perché la personalizzazione rende i messaggi apparentemente legittimi.
Phishing la psicologia umana piuttosto che le vulnerabilità tecniche. Fa leva su principi quali urgenza, autorità, paura e fiducia per aggirare il processo decisionale razionale. Anche le persone attente alla sicurezza possono cadere vittime di attacchi ben congegnati che arrivano nei momenti opportuni, come durante i periodi di maggiore attività, dopo l'orario di lavoro o durante le transizioni organizzative. L'elemento umano non può essere corretto come un software, rendendo la formazione continua e i controlli tecnici complementi essenziali l'uno dell'altro.