Spiegazione del Phishing-as-a-Service: IA, deepfake e difesa

1. Introduzione: Phishing-as-a-Service#

Il phishing si sta allontanando dagli invii massicci di e-mail ad alto volume per orientarsi verso attacchi più mirati che possono comunque essere eseguiti su larga scala. I kit di phishing pronti all'uso consentono ora ad attaccanti relativamente inesperti di raggiungere un livello di efficacia che in passato era associato principalmente alle minacce persistenti avanzate (APT) e ai gruppi sostenuti da governi.

L'impatto di questo problema sta peggiorando: lo studio 2024 IBM/Ponemon Cost of a Data Breach riporta che il costo medio annuo degli incidenti di phishing è aumentato di quasi il 10%, raggiungendo i 4,88 milioni di dollari USA, uno dei salti più significativi dalla pandemia. Allo stesso tempo, la tecnologia deepfake sta aprendo nuove strade per le frodi: Right Hand Cybersecurity segnala un aumento su base annua del 680% nelle attività di media sintetici, che consentono attacchi in grado di aggirare i protocolli di verifica tradizionali. Oltre 3,4 miliardi di e-mail di phishing circolano quotidianamente (circa l'1,2% del traffico globale di e-mail) e Google ne blocca circa 100 milioni al giorno. L'Anti-Phishing Working Group ha registrato 1.003.924 attacchi solo nel primo trimestre del 2025, il livello più alto dalla fine del 2023. Il phishing rimane uno dei principali fattori di danni nel mondo reale, contribuendo al 36% delle violazioni dei dati negli Stati Uniti e giocando un ruolo in oltre l'80% degli attacchi informatici. I costi medi delle violazioni si attestano a 4,88 milioni di dollari USA, le perdite dovute alla compromissione delle e-mail aziendali (BEC) raggiungono i 2,7 miliardi di dollari all'anno e il ransomware (spesso avviato tramite phishing) appare nel 44% delle violazioni.

In questo articolo, analizzeremo gli aspetti più importanti di come il phishing è cambiato negli ultimi anni con nuovi approcci come il Phishing-as-a-Service e l'uso dell' IA. In particolare, affronteremo le seguenti domande:

1. Che cos'è il Phishing-as-a-Service (PhaaS)?

2. Che ruolo gioca l'intelligenza artificiale nei moderni attacchi di phishing?

3. Come possono le organizzazioni difendersi dal phishing moderno (controlli tecnici, gestione del rischio umano, governance e policy)?

2. Che cos'è il Phishing-as-a-Service (PhaaS)?#

Il crimine informatico non è più un'esclusiva degli hacker esperti. L'ascesa del Phishing-as-a-Service (PhaaS) ha reso le competenze tecniche molto meno necessarie per lanciare attacchi efficaci. Imitando i modelli di business delle aziende di software legittime e offrendo abbonamenti, assistenza clienti e aggiornamenti regolari, gli sviluppatori criminali hanno reso il phishing accessibile a quasi chiunque.

2.1 Mercificazione dell'accesso agli strumenti di phishing#

Il mercato del PhaaS è maturato in un ecosistema a livelli. Al livello base, gli attaccanti principianti ("script kiddie") possono noleggiare l'accesso a infrastrutture complesse per tariffe ridotte, mentre gli operatori avanzati possono acquistare livelli "enterprise" che offrono hosting dedicato e funzionalità di elusione personalizzate.

Questa struttura economica ha portato a un massiccio picco di attività. Solo nei primi due mesi del 2025 sono stati rilevati oltre un milione di attacchi basati su PhaaS, segnalando una solida e crescente base di utenti per questi servizi criminali. Il marketplace per questi kit è ospitato principalmente su Telegram, che funge da pannello di controllo crittografato e ad alta disponibilità per vendite e supporto.

Analisi delle piattaforme PhaaS più popolari (2025)

Il grafico seguente illustra l'assoluto predominio del mercato da parte di Tycoon 2FA rispetto ad altri attori dell'ecosistema:

2.2 Tycoon 2FA: Analisi dettagliata del kit di phishing#

Tycoon 2FA è una sofisticata piattaforma di Phishing-as-a-Service (PhaaS) progettata per aggirare l'autenticazione a due fattori (2FA) e l'autenticazione a più fattori (MFA). Prende di mira principalmente gli account Microsoft 365 e Gmail utilizzando una tecnica "Adversary-in-the-Middle" (AiTM). All'inizio del 2025, Tycoon 2FA è diventato il principale attore del mercato, rappresentando quasi 9 incidenti di phishing su 10. Il suo successo è guidato dalla capacità di rimanere invisibile ai moderni filtri di sicurezza. In un importante aggiornamento del 2025, gli sviluppatori hanno sostituito le vecchie tattiche con una crittografia avanzata per nascondere il proprio codice dannoso.

In particolare, ora utilizzano un "cifrario di Cesare" per rimescolare il codice e inserire caratteri invisibili "Hangul Filler" (Unicode 3164). Questi caratteri sono nascosti all'utente ma servono a confondere gli scanner automatizzati che cercano le "firme" digitali delle minacce note. Per distribuire questi kit, Tycoon utilizza una strategia "Living off the Land", ospitando le proprie trappole su servizi affidabili e ad alta reputazione come Amazon S3, Canva e Dropbox.

Poiché i gateway di posta elettronica sicura (SEG) sono programmati per fidarsi di questi domini famosi, le e-mail di phishing spesso bypassano completamente i filtri. Infine, per assicurarsi di non essere osservati dai bot di sicurezza, gli aggressori indirizzano gli utenti attraverso una complessa catena di reindirizzamenti e CAPTCHA di Cloudflare prima che vedano mai la falsa pagina di accesso.

2.3 I meccanismi di Adversary-in-the-Middle (AiTM)#

La caratteristica distintiva dei moderni kit PhaaS è l'attacco Adversary-in-the-Middle (AiTM). Questa tecnica rende obsoleta la tradizionale raccolta delle credenziali intercettando la sessione di autenticazione in tempo reale, bypassando così l'autenticazione a più fattori (MFA).

L'architettura di un attacco AiTM differisce fondamentalmente da un sito clone.

1. Iniziazione del proxy: Quando una vittima accede all'URL di phishing, il server PhaaS (che agisce come reverse proxy) avvia una connessione all'Identity Provider (IdP) legittimo, come login.microsoftonline.com.

2. Mirroring del traffico: Il proxy recupera i contenuti di accesso legittimi e li inoltra alla vittima. La vittima vede la vera pagina di accesso di Microsoft, sebbene renderizzata su un dominio dannoso.

3. Relay in tempo reale: Man mano che la vittima inserisce le proprie credenziali, il proxy le acquisisce e le inoltra all'IdP.

4. Intercettazione dell'MFA: Quando l'IdP richiede il secondo fattore (ad esempio, un codice SMS o un prompt di Authenticator), il proxy specchia questa richiesta alla vittima.

5. Furto di sessione: La vittima fornisce il token MFA. Il proxy lo inoltra all'IdP. L'IdP convalida la sessione ed emette un cookie di sessione (ad esempio, ESTSAUTH o ESTSAUTH_PERSISTENT).

6. La violazione: Fondamentalmente, il proxy intercetta questo cookie di sessione. Non lo restituisce alla vittima (o ne passa una copia conservando l'originale). L'attaccante ora possiede un cookie di sessione valido e autenticato che gli consente di accedere all'account della vittima da qualsiasi dispositivo, aggirando la necessità di una password o di un token MFA, fino alla scadenza del token.

Kit come Sneaky 2FA hanno ulteriormente perfezionato questo approccio offrendo pannelli amministrativi che consentono agli aggressori di intervenire manualmente nella sessione, gestendo di fatto l'attacco in tempo reale.

2.4 Infrastruttura dei fornitori di Phishing-as-a-Service#

Smantellare l'infrastruttura PhaaS è molto difficile a causa della sua natura decentralizzata. Mentre i pannelli di "amministrazione" centrali potrebbero essere ospitati su server in giurisdizioni con leggi informatiche blande, i nodi "periferici" (le effettive pagine di phishing) hanno una vita breve. Tycoon 2FA, per esempio, utilizza un Domain Generation Algorithm (DGA) per creare migliaia di domini usa e getta. Cloudflare Turnstile blocca anche gli scanner di sicurezza e fa sembrare ufficiali i siti di phishing. Poiché le persone sono abituate a vedere questi controlli sui siti reali, sono più propense a fidarsi della pagina.

Le pagine di Tycoon 2FA vengono spesso distribuite tramite "Quishing" (Phishing tramite codice QR). Il codice QR contiene l'URL dannoso, tenendo di fatto la minaccia lontana dagli scanner di sicurezza della posta elettronica che non possono analizzare i dati dell'immagine. Questo vettore ha visto un aumento del 25% su base annua, prendendo di mira specificamente i dispositivi mobili che spesso non dispongono dei controlli di protezione degli endpoint delle workstation aziendali.

3. Il phishing al tempo dell'intelligenza artificiale#

Se il PhaaS ha fornito l'infrastruttura per lo sfruttamento di massa, l'intelligenza artificiale ha fornito l'intelligenza e i contenuti. L'integrazione della GenAI nel ciclo di vita della criminalità informatica ha risolto le due maggiori sfide per gli aggressori: scalabilità e credibilità. I giorni in cui la "scarsa grammatica" e i "saluti generici" fungevano da indicatori affidabili di phishing sono finiti.

3.1 "Vibe Scamming" e la strumentalizzazione degli strumenti no-code#

Uno sviluppo significativo nel 2025 è l'emergere del "vibe scamming". Questa tendenza sfrutta l'ideale del "vibe coding", in cui gli utenti creano software utilizzando prompt in linguaggio naturale, per generare risorse dannose.

Piattaforme legittime come Lovable, progettate per democratizzare la creazione di software, sono diventate motori per la criminalità informatica. Guardio Labs ha condotto un benchmark della resistenza degli agenti IA agli abusi, scoprendo che mentre modelli consolidati come ChatGPT ottenevano un punteggio relativamente alto (8/10) nel rifiutare le richieste dannose, piattaforme più recenti come Lovable ottenevano punteggi allarmantemente bassi (1,8/10). Gli aggressori possono semplicemente chiedere a questi strumenti, ad es., "Crea un portale di accesso che sembri quello di una grande banca, utilizzi i colori ufficiali blu e rosso e abbia campi per i numeri di previdenza sociale", e l'IA genera codice di phishing perfetto e completamente funzionante.

Questa capacità consente agli aggressori di aggirare l'"affaticamento da template" dei vecchi kit PhaaS. Invece di utilizzare un template standard di Microsoft che i difensori hanno identificato, un vibe scammer può generare una pagina di accesso unica e adattata per ogni singola campagna, o persino per ogni singola vittima. Proofpoint ha osservato decine di migliaia di URL generati da Lovable che distribuivano Tycoon e altri malware all'inizio del 2025, confermando che non si tratta di una minaccia teorica, ma di un vettore attivo e massiccio.

3.2 L'IA basata su agenti spinge lo spionaggio autonomo#

Oltre a generare contenuti, l'IA viene ora utilizzata anche per eseguire attacchi. Questo passaggio dall' IA generativa all'"IA basata su agenti" rappresenta un momento chiave per l'ingegneria sociale:

Si è verificato un incidente alla fine del 2024 che ha coinvolto un gruppo sostenuto dallo stato cinese. Questo avversario ha utilizzato l'agente "Claude Code" di Anthropic (destinato allo sviluppo di software automatizzato) per condurre una campagna di spionaggio informatico su larga scala. Aggirando i suoi limiti etici, gli aggressori sono stati in grado di incaricare l'IA di obiettivi di alto livello. L'agente IA ha eseguito autonomamente ricognizioni, scritto codice exploit personalizzato per colpire specifiche vulnerabilità, raccolto credenziali e si è spostato all'interno delle reti.

Questa moltiplicazione delle forze consente a un piccolo team di operatori di colpire centinaia di organizzazioni contemporaneamente con la profondità e la persistenza di un vero e proprio team red team umano dedicato.

Gli esperimenti condotti da Hoxhunt tra il 2023 e il 2025 rivelano la rapida evoluzione delle capacità dell' IA. Come mostrato nella sequenza temporale seguente, gli agenti IA hanno superato la soglia di efficacia umana all'inizio del 2025, passando dall'essere il 31% meno efficaci al 24% più efficaci rispetto agli ingegneri sociali d'élite.

Inoltre, gli studi indicano che le campagne di spear phishing supportate dall'IA possono raggiungere percentuali di clic superiori al 50%, rispetto alle percentuali molto più basse delle campagne generiche. Anche la riduzione dei costi è altrettanto notevole. Le campagne guidate dall'IA costano circa 1/30 rispetto alle campagne manuali, fornendo al contempo risultati superiori.

3.3 Caso di studio: i deepfake nella "Rapina ad Arup"#

Uno degli impatti più diretti dell'IA sulla sicurezza è l'aumento dei deepfake, audio e video generati al computer altamente realistici. Questi strumenti sono progettati per ingannare i nostri sensi, rendendo difficile per le persone fidarsi dei propri occhi e orecchie quando cercano di verificare l'identità di una persona. Il furto nel 2024 di 25 milioni di dollari presso la società di ingegneria Arup funge da caso di studio definitivo per questa nuova era di frodi.

L'incidente di Arup (Perdita di 25 milioni di dollari)

• La preparazione: un dipendente dell'ufficio di Hong Kong di Arup ha ricevuto un'e-mail che fingeva di essere da parte del Chief Financial Officer (CFO) con sede nel Regno Unito, che richiedeva una transazione finanziaria riservata. Il dipendente, sospettoso della richiesta, si è fermato. Questa è la procedura corretta in un modello di consapevolezza della sicurezza standard.

• L'aggiramento: Per alleviare le preoccupazioni del dipendente, gli aggressori hanno avviato una videochiamata in conferenza.

• L'inganno: Il dipendente ha partecipato alla chiamata trovando non solo il CFO, ma anche molti altri colleghi noti. Tutti loro erano deepfake, avatar generati dall'IA guidati dalla clonazione vocale in tempo reale e dalla tecnologia di rievocazione facciale. La conferma visiva e uditiva fornita dal "CFO" e la riprova sociale degli altri "colleghi" hanno sopraffatto completamente le difese del dipendente.

• Il risultato: Convinto di agire su ordini legittimi, il dipendente ha autorizzato 15 bonifici bancari per un totale di 200 milioni di dollari di Hong Kong (25,6 milioni di dollari USA) verso conti fraudolenti.

La tecnologia deepfake è stata mercificata. I marketplace sul dark web ora offrono "Deepfake-as-a-Service" per soli 50 USD per il video e 30 USD per la clonazione vocale. La tecnologia è avanzata per supportare l'interazione in tempo reale a bassa latenza, rendendo fattibili le chiamate di phishing in diretta. Gli attacchi di phishing tramite deepfake sono aumentati del 1.633% solo nel primo trimestre del 2025.

4. Quishing (Phishing tramite codice QR)#

Pur essendo spesso messo in ombra dall'IA, il "Quishing" (Phishing tramite codice QR) è cresciuto in parallelo, sfruttando le lacune nella sicurezza dei dispositivi mobili. Gli attacchi che utilizzano codici QR dannosi sono aumentati del 25% su base annua.

Le meccaniche del Quishing sono progettate per aggirare le difese aziendali. Come illustrato nel flusso di processo di seguito, l'attacco sfrutta una "lacuna di sicurezza" in cui l'utente scansiona un codice QR incorporato con il proprio dispositivo personale, ignorando il Secure Email Gateway (SEG) e le protezioni degli endpoint aziendali prima di eseguire l'attacco nel browser mobile.

Gli aggressori utilizzano sempre più spesso l'IA per generare codici QR "artistici" che si fondono con i materiali di marketing, riducendo ulteriormente il sospetto degli utenti.

5. Analisi delle minacce nel settore e nelle regioni#

L'impatto di queste minacce non è uniforme. Settori diversi affrontano varianti distinte di PhaaS e attacchi basati sull'IA in base al valore dei propri asset e al ritmo operativo.

5.1 Phishing-as-a-Service nelle banche e nella finanza#

Il settore finanziario rimane il più preso di mira, rappresentando il volume più elevato di attacchi di phishing.

• Portali di VibeScamming: Gli aggressori utilizzano strumenti come Lovable per creare cloni effimeri e ad alta fedeltà dei portali di accesso alle banche regionali. Questi siti sono spesso attivi per meno di 24 ore, rendendo inefficaci le rimozioni.

• Frode nella verifica con deepfake: Una tendenza crescente coinvolge gli aggressori che utilizzano la clonazione vocale per superare la verifica di sicurezza del telephone banking. Impersonando il titolare dell'account, autorizzano bonifici o reimpostano le password. Gli anziani hanno visto un aumento del 40% degli attacchi di vishing, evidenziando la natura predatoria di queste campagne.

5.2 Phishing-as-a-Service nel settore sanitario#

Per il settore sanitario, il phishing è principalmente un vettore di accesso iniziale per il ransomware.

• Impatto sui costi: Il costo medio di una violazione nel settore sanitario è di 9,77 milioni di dollari USA, il più alto di qualsiasi settore.

• Esche operative: Gli aggressori prendono di mira il personale ospedaliero con esche relative alla "Pianificazione dei turni", all'"Amministrazione del portale pazienti" o agli "Aggiornamenti sulle buste paga". L'urgenza degli ambienti clinici rende il personale altamente vulnerabile a queste esche operative.

• Catena di approvvigionamento: Gli attacchi spesso provengono da account di fornitori compromessi (ad esempio, fornitori di dispositivi medici), sfruttando la relazione di fiducia per non destare sospetti.

5.3 Phishing-as-a-Service nella vendita al dettaglio e nella produzione#

Le organizzazioni manifatturiere hanno registrato il maggior numero di incidenti ransomware nel 2024, sfidando la tendenza globale al ribasso.

• Tecnologie legacy: La produzione si affida spesso alla tecnologia operativa (OT) legacy e a sistemi Windows più vecchi, rendendoli vulnerabili agli exploit noti una volta ottenuto l'accesso iniziale tramite phishing.

• Brandjacking (furto d'identità del marchio): I rivenditori affrontano il "Brandjacking", in cui gli aggressori utilizzano l'IA per generare false recensioni di prodotti, fatture fraudolente e notifiche di spedizione false (ad esempio, "Il tuo pacco è in ritardo") per truffare i consumatori.

• L'impennata in APAC: La regione Asia-Pacifico ha registrato un aumento del 13% degli attacchi nel 2024, guidato in gran parte da attacchi agli hub manifatturieri cruciali per la catena di approvvigionamento globale.

6. Difesa strategica e resilienza contro il PhaaS#

Le difese degli ultimi dieci anni (rilevamento basato sulle firme, blacklist e formazione di base degli utenti) stanno fallendo contro gli attacchi guidati dall'IA e basati su proxy. È necessario passare a una Difesa incentrata sull'identità (Identity-Centric Defense) e all'Analisi comportamentale.

6.1 Controlli tecnici contro il Phishing-as-a-Service#

Per affrontare i problemi del phishing è necessario gestire contemporaneamente alcuni vettori.

1. MFA resistente al phishing#

• Difesa: Gli amministratori devono applicare Criteri di accesso condizionale (Conditional Access Policies) che blocchino i metodi di autenticazione legacy. Se il browser di un utente tenta di declassare (downgrade) a un flusso tramite password/SMS, l'accesso deve essere bloccato.

• Crittografia più elevata: Le passkey FIDO offrono la massima protezione poiché legano fisicamente la credenziale al dispositivo, rendendo quasi impossibili gli attacchi di replay remoti.

2. IA visiva e comportamentale:#

• Computer vision: Gli strumenti di sicurezza devono analizzare l'aspetto renderizzato di una pagina web. Anche se il codice è offuscato con cifrari di Cesare, la pagina renderizzata sembra un accesso Microsoft. I modelli di computer vision possono identificare questa somiglianza visiva e bloccare il sito.

• Baseline comportamentali: Piattaforme come Check Point e Proofpoint si stanno muovendo verso baseline comportamentali. Analizzano l'intento e il contesto delle e-mail (ad esempio, "È normale che il CFO chieda un bonifico bancario alle 23:00 di domenica?"). Le anomalie attivano avvisi indipendentemente dalla reputazione del mittente.

6.2 Gestione del rischio umano (HRM)#

• Simulazioni con deepfake: La formazione sulla consapevolezza della sicurezza deve ora includere l'esposizione all'audio e ai video deepfake. I dipendenti devono sperimentare la qualità di questi falsi in un ambiente sicuro per comprendere la minaccia.

• Il protocollo "Challenge-Response": Le organizzazioni dovrebbero implementare un protocollo di verifica out-of-band per le transazioni finanziarie. Se una videochiamata richiede un trasferimento di fondi, il dipendente deve verificarlo tramite un canale secondario (ad esempio, un'app di chat crittografata o una telefonata a un numero interno noto).

• Cultura della segnalazione: La metrica più efficace per la cultura della sicurezza è il tasso di segnalazione. Le organizzazioni di livello mondiale raggiungono tassi di segnalazione superiori al 20%. Le organizzazioni con programmi di formazione efficaci possono ridurre la suscettibilità al phishing dell'86% in un anno.

6.3 Policy e governance#

• Divulgazione SEC: Le nuove regole di divulgazione della sicurezza informatica della SEC (Modulo 8-K) richiedono una rapida segnalazione di incidenti materiali. La violazione di F5 Networks nel 2024/2025, attribuita a un attore sostenuto dallo stato, ha evidenziato la complessità di queste divulgazioni, per cui il Dipartimento di Giustizia può richiedere rinvii per motivi di sicurezza nazionale.

• Direttiva NIS2: In Europa, la direttiva NIS2 impone rigorose misure di segnalazione degli incidenti e di gestione del rischio, costringendo le organizzazioni ad assumersi la responsabilità dei rischi della catena di approvvigionamento, compresi quelli introdotti dal phishing.

7. Come Corbado può aiutare#

Sostituendo password e MFA basata su OTP con passkey basate su FIDO, resistenti al phishing, Corbado garantisce che l'autenticazione sia crittograficamente legata al dispositivo e all'origine dell'utente, rendendo inefficaci gli attacchi adversary-in-the-middle e il replay della sessione. Le passkey non possono essere riutilizzate, passate tramite proxy o esfiltrate, nemmeno da kit PhaaS altamente sofisticati come Tycoon 2FA.

Corbado è progettato per gli ambienti aziendali del mondo reale: si integra negli stack di autenticazione esistenti, supporta implementazioni graduali e abilita un'MFA robusta senza aggiungere attrito per l'utente. Il risultato è una sicurezza misurabilmente superiore, tassi di successo di accesso migliori e una difesa duratura contro il phishing guidato dall'IA su larga scala.

8. Conclusione: Phishing-as-a-Service#

La traiettoria del panorama delle minacce di phishing punta all'adattamento autonomo. Stiamo andando oltre gli attacchi "automatizzati" per passare a quelli "autonomi". I futuri agenti IA non si limiteranno a eseguire uno script predefinito; impareranno dalla risposta del difensore. Se un difensore blocca un IP, l'IA lo ruoterà. Se un difensore corregge una vulnerabilità, l'IA riscriverà l' exploit.

In questo articolo abbiamo anche risposto alle seguenti domande chiave:

1. Che cos'è il Phishing-as-a-Service (PhaaS)? Il Phishing-as-a-Service è un ecosistema criminale in stile SaaS in cui i kit di phishing pronti all'uso, l'infrastruttura e l'assistenza sono venduti tramite abbonamenti, consentendo anche ad aggressori con scarse competenze di lanciare attacchi altamente efficaci e scalabili, spesso in grado di aggirare l'MFA tramite tecniche adversary-in-the-middle.

2. Che ruolo gioca l'intelligenza artificiale nei moderni attacchi di phishing? L'intelligenza artificiale consente al phishing di scalare e adattarsi generando esche personalizzate altamente credibili ("vibe scamming"), alimentando attacchi autonomi basati su agenti e abilitando frodi audio e video deepfake in tempo reale in grado di sconfiggere la verifica umana e i tradizionali controlli di sicurezza.

3. Come possono le organizzazioni difendersi dal phishing moderno (controlli tecnici, gestione del rischio umano, governance e policy)? Le organizzazioni devono combinare un'autenticazione resistente al phishing e supportata dall'hardware (ad esempio, le passkey FIDO) e il rilevamento tramite IA visiva e comportamentale con la gestione del rischio umano, come la consapevolezza dei deepfake e i protocolli di verifica out-of-band, rafforzati da una solida governance e dalla conformità alle normative sulla segnalazione degli incidenti e sul rischio della catena di approvvigionamento (ad esempio, regole SEC e NIS2).

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande frequenti#

Che cos'è il vibe scamming e perché rappresenta una minaccia per la sicurezza aziendale?#

Il vibe scamming sfrutta le piattaforme IA no-code come Lovable per generare pagine di phishing perfettamente funzionanti a partire da semplici prompt in linguaggio naturale. Guardio Labs ha rilevato che Lovable ha ottenuto un punteggio di soli 1,8/10 nel rifiutare le richieste dannose, rispetto all'8/10 di ChatGPT. Proofpoint ha osservato decine di migliaia di URL di phishing generati da Lovable che distribuivano malware attivo all'inizio del 2025.

Come fa il quishing ad aggirare i gateway di sicurezza della posta elettronica aziendale?#

Il quishing incorpora URL dannosi all'interno di immagini con codici QR in e-mail o PDF, che i Secure Email Gateway (SEG) non possono analizzare. La vittima scansiona il codice con uno smartphone personale, bypassando le protezioni degli endpoint aziendali prima che il sito di phishing venga caricato nel browser del dispositivo mobile. Questo vettore di attacco è cresciuto del 25% su base annua ed è sempre più difficile da rilevare.

Cosa è successo nel caso di frode tramite deepfake di Arup e cosa significa per la verifica dell'identità?#

Nel 2024, gli aggressori hanno convinto un dipendente di Arup ad autorizzare 15 bonifici bancari per un totale di 200 milioni di dollari di Hong Kong (25,6 milioni di dollari USA) inscenando una videochiamata in cui il CFO e diversi colleghi erano tutti deepfake in tempo reale. L'incidente dimostra che la conferma visiva e audio nelle videochiamate non può più fungere da metodo di verifica affidabile senza un canale di conferma secondario out-of-band.

Perché le passkey FIDO sono più resistenti agli attacchi PhaaS rispetto all'MFA tramite SMS o app di autenticazione?#

Le passkey FIDO sono crittograficamente legate al dispositivo specifico dell'utente e al dominio di origine legittimo, pertanto un reverse proxy in un attacco AiTM non può acquisirle o riprodurle. A differenza dei codici SMS o dei token OTP, le passkey non trasmettono mai un segreto condivisibile, rendendole inefficaci da intercettare anche per piattaforme sofisticate come Tycoon 2FA.

A quale tasso di segnalazione del phishing dovrebbe puntare un'organizzazione per misurare una solida cultura della sicurezza?#

Secondo l'articolo, le organizzazioni di livello mondiale raggiungono tassi di segnalazione del phishing superiori al 20%. Le organizzazioni con programmi di formazione efficaci possono anche ridurre la suscettibilità complessiva al phishing dell'86% in un anno, rendendo la cultura della segnalazione un indicatore di base della postura di sicurezza insieme ai controlli tecnici.