Phishing, una parola che ormai non fa più paura solo agli esperti di sicurezza informatica ma che dovrebbe preoccupare chiunque apra la propria casella di posta ogni mattina. Perché i numeri parlano chiaro: un’email su tre tra quelle che arrivano nelle caselle aziendali di tutto il mondo è dannosa o rappresenta spam indesiderato. Non si tratta di un dato marginale, di un rumore di fondo con cui convivere e basta. È qualcosa di molto più serio.
Il phishing è diventato un vero e proprio business
Quello che una volta era il tentativo maldestro di qualche truffatore improvvisato si è trasformato in una industria strutturata. Gli hacker oggi non hanno nemmeno bisogno di competenze tecniche particolarmente avanzate per lanciare campagne su larga scala. Esistono veri e propri kit di phishing disponibili a noleggio, pacchetti pronti all’uso che permettono a chiunque, anche a chi ha conoscenze limitate, di mettere in piedi operazioni sofisticate. È un modello che ricorda quello del software as a service, solo che il servizio in questione è il furto di dati.
La dinamica è semplice e proprio per questo efficace. Chi attacca può affittare questi strumenti, personalizzarli con loghi aziendali, layout credibili e messaggi costruiti ad arte, e poi lanciarli contro migliaia di caselle di posta elettronica in pochi minuti. Il risultato è che distinguere un messaggio legittimo da uno fraudolento è diventato sempre più difficile, anche per utenti esperti. E quando il phishing funziona, le conseguenze possono essere devastanti: credenziali rubate, accessi non autorizzati, danni economici e reputazionali enormi.
Account reali compromessi: il problema dentro il problema
C’è un aspetto che rende il fenomeno ancora più insidioso. Gli hacker non si limitano a creare email false da indirizzi inventati. Sempre più spesso riescono a compromettere account reali, cioè caselle di posta che appartengono a persone vere, colleghi, fornitori, partner commerciali. Quando un messaggio di phishing arriva da un indirizzo che il destinatario conosce e di cui si fida, le probabilità che venga aperto e che il link malevolo venga cliccato salgono in modo esponenziale.
Questo trasforma la posta elettronica nel fronte più caldo della guerra informatica contemporanea. Non parliamo più di attacchi isolati o di campagne grossolane piene di errori grammaticali. Il phishing moderno è curato nei dettagli, sfrutta tecniche di ingegneria sociale raffinate e si appoggia su infrastrutture che funzionano come vere aziende, con tanto di assistenza clienti per chi acquista i kit.
Il dato di un’email su tre classificata come pericolosa o indesiderata racconta una realtà in cui la normalità digitale è stata stravolta. Per le aziende significa che una fetta enorme del traffico di posta che gestiscono ogni giorno è potenzialmente ostile. Per i singoli utenti significa che ogni messaggio ricevuto andrebbe trattato con un livello di attenzione che fino a qualche anno fa sembrava eccessivo e oggi è semplicemente necessario.
