Il phishing trova terreno fertile nelle aziende italiane. A dirlo è un nuovo report di Yarix, secondo cui due dipendenti d’azienda su dieci, in media, finiscono in un modo o nell’altro per inserire le proprie credenziali nei moduli “trappola” collegati a messaggi email truffaldini. La società di cybersicurezza di Var Group, dopo aver evidenziato la portata del problema del ransomware in Italia, con questo report mette il dito nella piaga di un’altra minaccia informatica, tradizionalmente “di basso livello”, diffusa a tappeto tramite posta elettronica, con poca selezione del target e con contenuti testuali sgrammaticati, mal fatti o comunque abbastanza facilmente smascherabili.
Tutto questo, come sappiamo, negli ultimi anni è cambiato. Chi crea campagne di phishing ha imparato ormai, spesso, a confezionare messaggi credibili, accurati in ogni dettaglio (indirizzi mittenti, loghi e altri riferimenti alla presunta entità o persona da cui parrebbe arrivare la richiesta). L’aiuto dell’intelligenza artificiale generativa, poi, negli ultimissimi anni ha alzato il livello di sofisticazione delle truffe di phishing, che vengono facilmente declinate in più varianti, tradotte in molte lingue e addirittura personalizzate in base al target.
Tornando ai dati di Yarix, il suo “Y-Report 2025” evidenzia un 20% di dipendenti “creduloni” che è ben superiore al 13% registrato nel 2030. Una crescita che è anche frutto della disponibilità di nuovi strumenti in mano agli attaccanti.
“Il phishing non è più un rischio riservato alle grandi aziende: oggi anche le Pmi italiane sono nel mirino di attacchi sempre più sofisticati e automatizzati”, ha sottolineato Mirko Gatto, head of cybersecurity di Var Group. “La diffusione di strumenti come gli Infostealer e i kit di Phishing-as-a-Service abbassa la soglia tecnica per i cybercriminali che, anche senza conoscenze approfondite di hacking, hanno la possibilità di lanciare campagne di phishing su larga scala. L’Italia è tra i Paesi europei più colpiti, ed è dunque fondamentale che anche le imprese di piccole e medie dimensioni investano in formazione, prevenzione e monitoraggio continuo”.
La crescita degli infostealer
Spesso una email di phishing è la modalità, il veicolo con cui i programmi infostealer vengono diffusi. Yarix ha identificato in Italia oltre 8,1 milioni di sistemi compromessi da questo tipo di attacco nel 2024, tra Pc, tablet e smartphone aziendali. Le credenziali rubate tramite infostealer sono state oltre 920 milioni, e in questo caso la crescita anno su anno sfiora il 377%. Tra le credenziali compromesse identificate, oltre 170mila avrebbero teoricamente permesso di accedere a portali aziendali critici gestiti da diversi fornitori di tecnologia, a VPN o a firewall aziendali.
Se il phishing è spesso portatore di infostealer, questi ultimi possono essere la premessa del ransomware. Una volta infettato un dispositivo, l’infostealer raccoglie dati come credenziali salvate sul browser, cookies di navigazione, numeri di carte di credito o di wallet digitali; questi dati vengono poi trasmessi ai server controllati dagli attaccanti, dando loro accesso a sistemi aziendali di vario tipo.
Il report di Yarix racconta anche che l’Italia è tra i primi cinque Paesi in Europa per numero di dispositivi infettati nel 2024: circa 60mila, un dato in crescita di circa il 58% rispetto al 2023. Prima di noi, per numero di dispositivi infetti, si piazzano Spagna (120 mila), Germania (73 mila), Polonia (71 mila) e Francia (66 mila).
Collegato al phishing è anche il tema della Business Email Compromise (Bec), la compromissione della posta elettronica aziendale, che rientra anch’essa nell’alveo delle truffe diffuse via posta elettronica. Si tratta di email apparentemente legittime, inviate da accounti di posta violati o contraffatti, con cui l’attaccante si spaccia per un superiore, un collega, un fornitore o altro mittente di fiducia.
Lo scopo è solitamente di indurre l’utente ad aprire allegati o cliccare link dannosi, o ancora di rivelare informazioni riservate o fare versamenti in denaro. Gli account aziendali già compromessi in un precedente attacco (per esempio di phishing) possono essere poi sfruttati per operazioni di questo tipo. In Italia i settori più colpiti, secondo l’analisi di Yarix, sono il manifatturiero e l’industria alimentare.