Il fenomeno del Phishing-as-a-Service (PhaaS) si sta rapidamente espandendo, abbassando drasticamente la soglia tecnica per accedere al mondo del cybercrimine.
Questo modello, strutturato su abbonamento o pagamento a consumo, consente anche a utenti privi di competenze informatiche avanzate di lanciare campagne di phishing sofisticate e mirate.
Attraverso l’uso di kit preconfezionati, interfacce user-friendly e l’integrazione con strumenti di intelligenza artificiale generativa, le operazioni diventano sempre più efficaci e su larga scala.
In pratica, si tratta di una vera e propria industrializzazione del phishing tradizionale, che ora adotta dinamiche simili a quelle delle legittime piattaforme SaaS (Software-as-a-Service), con un modello di business scalabile, efficiente e perfino “customer-oriented”.
Ecosistemi criminali sempre più strutturati
Le piattaforme PhaaS non si limitano a offrire strumenti tecnici, ma mettono a disposizione interi ecosistemi criminali.
Questi includono servizi completi come assistenza clienti, aggiornamenti frequenti, dashboard interattive per il monitoraggio in tempo reale delle campagne, e persino guide dettagliate e tutorial per facilitare l’uso da parte degli “operatori”.
Tali piattaforme funzionano come vere startup criminali, spesso con un’organizzazione interna simile a quella aziendale, in grado di gestire milioni di attacchi in pochi mesi. La modularità del sistema permette agli sviluppatori di concentrarsi sull’innovazione e sull’aggiornamento dei tool, mentre gli utenti si occupano della diffusione degli attacchi.
L’intelligenza artificiale, inoltre, rappresenta un moltiplicatore di efficacia: consente di generare automaticamente email personalizzate, simulate in modo estremamente realistico, rendendo le campagne sempre più difficili da identificare anche per i sistemi di sicurezza più evoluti.
Aggirare le difese: MFA e mercato nero
I kit PhaaS di ultima generazione sono in grado di aggirare persino l’autenticazione multifattoriale (MFA), considerata finora una delle barriere più solide contro l’accesso non autorizzato.
Tecniche come il reverse proxy, il session hijacking o il token stealing consentono di intercettare e replicare in tempo reale l’esperienza dell’utente, anche su interfacce di servizi ampiamente utilizzati, come Microsoft 365 o Google Workspace.
Le credenziali e i token MFA rubati vengono poi monetizzati attraverso marketplace specializzati nel dark web, alimentando un’economia sommersa in forte espansione.
La risposta: tecnologia, formazione e consapevolezza
Per contrastare efficacemente il PhaaS non è sufficiente affidarsi esclusivamente a soluzioni tecnologiche: è necessario adottare un approccio multilivello, che combini strumenti avanzati, formazione continua e un aumento significativo della consapevolezza.
L’introduzione di sistemi di autenticazione più robusti – come token hardware, tecnologie biometriche e soluzioni di behavioral analysis – può ridurre il rischio, ma deve essere accompagnata da una vera cultura della sicurezza.
Solo attraverso percorsi formativi costanti, campagne di sensibilizzazione e l’integrazione della cybersecurity nelle strategie aziendali e istituzionali sarà possibile rafforzare la resilienza collettiva e prevenire l’escalation di un fenomeno sempre più professionale e pervasivo.