Lo smantellamento di Tycoon 2FA, una delle piattaforme di Phishing-as-a-Service (PhaaS) più diffuse a livello internazionale, conferma un trend che le aziende non possono più sottovalutare: oggi le campagne di phishing sono sempre più organizzate. L’operazione, coordinata dall’Europol, ha portato al sequestro di centinaia di domini utilizzati per sostenere un’infrastruttura criminale attiva su larga scala, che nel tempo ha colpito quasi 100 mila organizzazioni.
Il punto più critico è proprio questo: per creare attacchi sofisticati non servono più competenze tecniche elevate. Con il modello PhaaS i criminali possono accedere a kit, pannelli di controllo, pagine contraffatte e servizi pronti all’uso attraverso formule in abbonamento. In pratica, il phishing viene venduto come un servizio (da qui il nome “Phishing-as-a-Service”), aumentando così il numero di attori in grado di colpire aziende ed enti pubblici.
Come funzionano oggi le campagne di phishing
Le moderne campagne di phishing non si limitano ad imitare un brand nelle comunicazioni o a mostrare una pagina web falsa. Nel caso di Tycoon 2FA, la piattaforma operava con tecniche di attacco avanzate, capaci di rubare le credenziali di accesso in tempo reale.
Nello specifico, Tycoon 2FA metteva online un sito phishing molto simile a quello originale e, quando la vittima inseriva username, password e codice di verifica (autenticazione a due fattori), questi dati venivano intercettati in tempo reale dai criminali. In pratica, l’utente pensava di accedere normalmente al servizio, ma in realtà stava consegnando le proprie credenziali a un sistema fraudolento che le riutilizzava subito per entrare davvero nell’account.
Siti colpiti da phishing: nel mirino Microsoft 365 e Gmail
I siti/servizi presi di mira da Tycoon 2FA erano soprattutto quelli legati agli account di lavoro, in particolare Microsoft 365, Outlook, SharePoint, OneDrive e Gmail/Google. L’obiettivo era compromettere caselle email e accessi a servizi online usati ogni giorno in azienda.
Nella pratica, le vittime arrivavano ai falsi siti cliccando su link predisposti dagli attaccanti all’interno di campagne di phishing, spesso costruite per sembrare comunicazioni legittime. Le analisi tecniche su Tycoon 2FA indicano che i link venivano distribuiti tramite email, ma anche attraverso PDF, file SVG, presentazioni PowerPoint e altri contenuti che rimandavano alla pagina fraudolenta.
Una volta cliccato il link, la vittima non sempre vedeva subito la schermata di login falsa: in alcune campagne veniva prima fatta passare da pagine intermedie (per esempio, una finta verifica in stile reCAPTCHA) pensate per sembrare credibili e ostacolare i controlli automatici di sicurezza. Solo dopo compariva il portale che imitava Microsoft 365 o Google.
Phishing: come difendersi
L’operazione internazionale coordinata dall’Europol, con il supporto di Microsoft e di altri partner privati, dimostra che la collaborazione tra forze dell’ordine e aziende tecnologiche può ridurre l’impatto di queste reti criminali. Ma non significa che il problema sia risolto: quando un servizio PhaaS viene bloccato, spesso il mercato si riorganizza rapidamente, sostituendo una piattaforma con altre varianti.
Per prevenire questo tipo di attacchi, le aziende dovrebbero:
- controllare sempre il mittente della mail, soprattutto quando invita a compiere un’azione tramite link;
- verificare dominio e url prima di cliccarci sopra (una buona pratica è quella di far scorrere il mouse sopra il link: comparirà in basso a sinistra l’url completo);
- evitare di accedere ai siti tramite collegamenti ricevuti, digitando invece direttamente l’indirizzo ufficiale nel browser;
- mantenere aggiornati browser, sistemi operativi e software aziendali, per ridurre le vulnerabilità sfruttabili dagli attaccanti;
- proteggere il dominio aziendale con configurazioni corrette della posta elettronica e utilizzare filtri antispam/antiphishing;
- monitorare accessi anomali e tentativi sospetti, così da individuare eventuali compromissioni in tempi rapidi;
- formare periodicamente il personale, perché molte campagne di phishing moderne sono progettate per sembrare credibili in ogni fase.
Perché il Phishing-as-a-Service preoccupa le aziende
Le moderne campagne di phishing sono particolarmente pericolose perché non si basano solo su un sito falso ben realizzato, ma su un percorso studiato nei dettagli per risultare credibile in ogni fase. L’utente viene accompagnato passo dopo passo verso un’azione che sembra normale, fino a consegnare - senza accorgersene - le sue credenziali.
Il vero elemento di allarme del Phishing-as-a-Service è però la sua struttura organizzata: un vero e proprio ecosistema che fornisce strumenti e supporto operativo a chi vuole lanciare campagne di phishing su larga scala.
Per le aziende questo significa un’esposizione molto più ampia, poiché cresce la probabilità che dipendenti, collaboratori o partner finiscano su un sito phishing costruito in modo convincente, con il rischio di condividere dati riservati.
