Un tempo si diceva: attenzione agli allegati malevoli. Oggi dovremmo dire: attenzione ai link, innanzitutto, agli Sms e ai QR code di incerta provenienza. Sebbene ancora presente nella posta elettronica, gli allegati contenenti payload e malware sono stati surclassati dai metodi di attacco basati su URL. L’ultimo studio di Proofpoint, ovvero il secondo volume della serie di “Human Factor 2025”, evidenzia che gli URL malevoli sono il “meccanismo di consegna” preferito dagli attaccanti, quattro volte più diffuso rispetto agli allegati email malevoli. La ragione è presto detta: sono minacce più facili da mascherare e hanno maggiore probabilità di eludere il rilevamento dei sistemi di protezione degli endpoint.
I link possono essere incorporati in messaggi, pulsanti e anche all’interno di file allegati, come PDF o documenti Word. Dove portano? Tipicamente, a pagine Web in cui si attivano meccanismi di phishing di credenziali o il download di malware. Proofpoint fa notare che gli attaccanti non si limitano a impersonare brand noti, ma abusano di servizi legittimi, ingannano gli utenti con falsi messaggi di errore e aggirano la sicurezza tradizionale incorporando minacce in codici QR e messaggi Sms.
Phishing planetario
A prescindere dal metodo e dal vettore di attacco, il phishing è una minaccia sempre più diffusa e sofisticata, e a dirlo non è solo Proofpoint ma innumerevoli report di sicurezza pubblicati negli ultimi anni. L’intelligenza artificiale ha certamente contribuito, aiutando gli attaccanti a confezionare messaggi truffa più credibili e personalizzati, rapidamente e su larga scala. E sempre più, sottolinea Proofpoint, i cybercriminali oggi puntano al furto di credenziali di accesso (facilmente “rivendibili” e monetizzabili più volte) anziché alla distribuzione di malware.
Proofpoint ha rilevato nel primo semestre del 2025 circa 3,7 miliardi di attacchi basati su URL volti a rubare credenziali di accesso. Con strumenti pronti all’uso, come i kit di phishing CoGUI e Darcula, anche soggetti con scarse competenze possono realizzare campagne di phishing convincenti e anche capaci di aggirare l’autenticazione a più fattori.
Cresce anche a dismisura l’utilizzo degli Sms per scopi di phishing, cioè il cosiddetto smishing: nel primo semestre 2025 c’è stato un incremento del 2.534% anno su anno. E più della metà dei messaggi di smishing analizzati da Proofpoint conteneva URL pericolosi. I temi più sfruttati sono le comunicazioni di enti governativi, istituzioni, banche o servizi di spedizione.
Il fattore umano
L’uso dei QR code è un altro fenomeno in ascesa. Proofpoint ha identificato oltre 4,2 milioni di minacce di phishing con codici QR già nella prima metà del 2025. Una volta scansionati tramite smartphone, questi codici reindirizzano gli utenti a siti di phishing progettati per raccogliere informazioni sensibili come credenziali, dati di carte di credito o personali. Si tratta, sottolinea Proofpoint, di attacchi che colpiscono gli utenti al di fuori dalle protezioni aziendali, sfruttando i dispositivi mobili personali.
Il phishing che mira alla diffusione di malware, comunque, non è scomparso. In particolare, è in forte ascesa (+400% anno su anno) il ClickFix, una tattica di truffa in cui l’utente visualizza dei falsi messaggi di errore che segnalano un presunto problema tecnico da risolvere; in alternativa, vengono mostrate delle schermate CAPTCHA. L’obiettivo è spesso la diffusione di trojan di accesso remoto (RAT), infostealer e loader.
“Oggi, le minacce più pericolose non prendono di mira macchine o sistemi, ma si concentrano sulle persone”, ha commentato Matt Cooke, cybersecurity strategist di Proofpoint. “Inoltre, quelle di phishing basate su URL non rimangono più nella casella di posta, ma possono essere eseguite ovunque e sono spesso estremamente difficili da identificare. Dai codici QR nelle email e dalle false pagine CAPTCHA alle truffe di smishing mobile, gli attaccanti stanno trasformando piattaforme affidabili e familiari in armi che fanno leva sulla psicologia umana. La difesa da queste minacce richiede un rilevamento multilivello basata su AI e una strategia di sicurezza incentrata sull’uomo”.