Il panorama del phishing sta attraversando una fase di profonda trasformazione. Secondo le più recenti analisi di Barracuda Research, la chiusura della piattaforma Tycoon 2FA non ha ridotto in modo significativo il rischio, ma ha invece accelerato l’evoluzione verso tecniche di attacco più avanzate e difficili da individuare.
Tycoon 2FA: meno attacchi, ma la minaccia resta
Lo smantellamento di Tycoon 2FA, una delle principali piattaforme di phishing-as-a-service (PhaaS), ha portato a un calo del 77% della sua attività. Prima dell’intervento, il kit era responsabile di oltre 9 milioni di attacchi al mese.
Tuttavia, il vuoto lasciato è stato rapidamente colmato da nuovi attori. Tra questi: Mamba 2FA, oggi piattaforma dominante con circa 15 milioni di attacchi mensili; EvilProxy, con circa 4 milioni di attacchi; eSneaky 2FA, che ha triplicato la propria attività arrivando a 2 milioni
Nonostante il blocco, Tycoon 2FA continua comunque a generare oltre 2 milioni di attacchi mensili, segno della resilienza di questi ecosistemi.
La persistenza è dovuta a diversi fattori: codice riutilizzato e modificato, infrastrutture residue ancora attive e una logica sempre più simile a quella dell’open source, dove strumenti e tecniche vengono condivisi e adattati rapidamente.
Phishing tramite codice dispositivo: la nuova minaccia
Parallelamente, sta emergendo una tecnica ancora più sofisticata: il phishing tramite codice dispositivo. In sole quattro settimane sono stati rilevati circa 7 milioni di attacchi basati su questo metodo.
Questa tecnica sfrutta flussi di autenticazione legittimi utilizzati da servizi come Microsoft 365, inducendo le vittime a inserire codici di accesso reali su pagine ufficiali. Una volta completata l’operazione, gli aggressori ottengono token di accesso validi senza bisogno di rubare password.
I principali vantaggi per gli attaccanti sono evidenti:
-
utilizzo di URL legittimi, difficili da bloccare
-
aggiramento dell’autenticazione multifattore (MFA)
-
accesso persistente grazie ai token di aggiornamento
-
maggiore efficacia grazie alla familiarità degli utenti con il processo
Questo approccio consente di compromettere account e sistemi cloud in modo silenzioso e prolungato, rendendo il phishing ancora più pericoloso.
Saiga 2FA: il phishing diventa piattaforma avanzata
Un ulteriore elemento di evoluzione è rappresentato da Saiga 2FA, un kit di tipo Adversary-in-the-Middle (AitM) progettato per intercettare sessioni e aggirare i sistemi di sicurezza.
A differenza dei kit tradizionali, Saiga 2FA funziona come una vera applicazione web dinamica perchè genera contenuti in tempo reale tramite JavaScript e consente la personalizzazione delle campagne durante l’attacco. Inoltre integra strumenti di analisi dei dati delle vittime e offre dashboard centralizzate per la gestione delle operazioni.
Tra le tecniche più avanzate, l’utilizzo di contenuti “neutri” nei metadati (come il Lorem Ipsum) per eludere i sistemi di rilevamento automatico.
Cybersecurity: una sfida sempre più complessa
Il quadro che emerge è chiaro: il phishing non sta diminuendo, ma si sta evolvendo rapidamente. La chiusura di singole piattaforme non è sufficiente a fermare il fenomeno, perché gli attaccanti si riorganizzano velocemente, riutilizzando strumenti e infrastrutture.
Per le aziende, questo significa dover adottare strategie di sicurezza più avanzate, capaci di affrontare minacce sempre più sofisticate e persistenti.
La vera sfida non è solo bloccare gli attacchi, ma riconoscerli in un contesto in cui diventano sempre più simili alle interazioni legittime.
