Il phishing è uno dei metodi più utilizzati per ingannare gli utenti e rubare dati sensibili, inclusi quelli di pagamento. I cybercriminali cercano sempre nuove soluzioni per aggirare le protezioni, ma allo stesso tempo aggiornano tecniche precedentemente note per renderle più efficaci. I ricercatori di Kaspersky hanno elencato quelle più sfruttate nel corso del 2025.
Codici QR, eventi di calendario e MFA
Gli allegati PDF sono molto comuni negli attacchi di phishing. Nella maggioranza dei casi contengono un link che porta al sito fasullo. Nel corso del 2025 sono invece aumentati i PDF con codici QR. In questo caso, l’utente non deve cliccare sul link (che potrebbe essere bloccato dagli antivirus o da Google Safe Browsing), ma deve inquadrare il codice QR con lo smartphone (meno protetto di un computer).
Un trucco per aggirare la rilevazione è allegare un file cifrato protetto da password. Quest’ultima viene scritta nel corpo dell’email o inviata separatamente. Non sempre viene effettuata la scansione dei file cifrati e l’utente crede si tratti di uno standard di sicurezza.
La tecnica che sfrutta un evento di calendario non è recente. L’utente riceve un invito via email con il link di phishing nascosto nella descrizione dell’evento. Quando apre l’email, l’evento viene aggiunto al calendario, dal quale arriverà il promemoria con il link al sito fasullo. La versione 2025 della tecnica utilizza principalmente Google Calendar e colpisce gli utenti aziendali. L’obiettivo è prendere il controllo dei loro account.
Un’altra tecnica prevede l’invio di un messaggio vocale. Per ascoltare l’intero messaggio deve essere cliccato su un link. L’ignara vittima finisce così su una falsa pagina di login di Google. Anche in questo caso, le credenziali finiranno nelle mani dei cybercriminali.
L’ultima tecnica è più sofisticata, in quanto permette di aggirare l’autenticazione multi-fattore (MFA). Un falso supporto clienti di pCloud invia un’email all’utente per chiedere di valutare la qualità del servizio. Cliccando sul pulsante presente nel messaggio viene aperto un sito con nome di dominio simile all’originale.
Tutte le interazioni con il sito fake vengono inoltrate al vero servizio di cloud storage. Quando l’utente inserisce le credenziali di login riceve un codice OTP dal vero pCloud. Se viene inserito nel falso sito di login, i cybercriminali prendono il controllo dell’account.
