Secondo un nuovo rapporto di Zscaler, gli attacchi di phishing hanno toccato una nuova vetta a livello globale nel 2021. Il nuovo record, secondo i ricercatori, è di oltre 873 milioni di attacchi osservati nell'anno in questione, con un aumento del 29% rispetto al 2020. Le motivazioni dietro a questo dato sono diverse, innanzitutto il clima di incertezza dato dalla pandemia di COVID-19 e la popolarità delle criptovalute hanno contribuito enormemente alla crescita degli attacchi phishing (con campagne mirate che sfruttavano questi due argomenti in vari modi), ma un aspetto ancora più interessante è l'emergere del cosiddetto Phishing-as-a-Service.
Come abbiamo già osservato in altri ambiti, come il ransomware, si sta diffondendo un nuovo modello di distribuzione, ovvero il Malware-as-a-Service, in sostanza un servizio in abbonamento per cui l'utente paga una tariffa mensile e ha accesso ai tool e a un pannello di controllo (solitamente un'interfaccia web da browser) per perpetrare i propri attacchi. Ciò ha ampliato notevolmente la platea di possibili operatori, dal momento che anche le persone meno esperte possono condurre un attacco malware tramite strumenti automatizzati e interfacce utente intuitive, proprio come se fossero dei normali software commerciali.
Inoltre, un nuovo vettore d'attacco, noto come Browser-in-the-Browser (BitB), si sta diffondendo rapidamente. Questa tecnica, che prevede lo sfruttamento delle opzioni single sign-on sui siti web, rende l'attacco virtualmente invisibile e consente ai malintenzionati di ottenere le credenziali di Facebook, Google, Microsoft e Apple senza che la vittima se ne renda conto.
Secondo i ricercatori, le aziende di dimensioni medie ricevono decine e decine di e-mail di phishing su base quotidiana, di conseguenza è opportuno adottare alcuni accorgimenti, come formare il personale sui rischi e sulle tecniche di phishing più adottate, affinché le e-mail pericolose vengano riconosciute e cestinate prima che possano infliggere danni economici e di immagine all'azienda. Inoltre, la maggior parte dei migliori antivirus sul mercato dispone di ottimi strumenti anti-phishing, alcuni basati su intelligenza artificiale e database in cloud, che possono proteggere efficacemente gli utenti, se utilizzati in modo adeguato.