Quando si parla di minacce informatiche oggi, il ransomware tende a dominare la conversazione. È sensazionale, devastante e fa notizia. Ma il ransomware raramente arriva da solo. Più spesso, viene veicolato attraverso qualcosa di apparentemente semplice: un’email.
Lo spam può sembrare un fastidio superato, ma gli aggressori lo stanno trasformando in qualcosa di molto più pericoloso. Oggi lo spam è solo il punto di partenza. Le vere minacce sono il phishing e il business email compromise (BEC), che sfruttano la fiducia, rubano credenziali e costano alle organizzazioni miliardi di dollari.
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti riporta che il 90% degli attacchi informatici riusciti inizia con un’email di phishing. E il Sophos State of Ransomware Report 2025 conferma che l’email rimane uno dei principali vettori di attacco: il 19% delle vittime di ransomware indica un messaggio di posta malevolo come causa iniziale e un ulteriore 18% cita il phishing — un aumento significativo rispetto all’11% dell’anno precedente.
Le minacce via posta elettronica non appartengono al passato. Sono attive, sofisticate e sempre più redditizie per gli attaccanti.
Lo spam non è morto, si è evoluto
Anche se molti pensano che lo spam sia ormai obsoleto, gli attaccanti di oggi lo stanno trasformando in uno strumento di precisione, più difficile da rilevare e più facile da scalare.
Lo spam esiste da quando esiste l’email, risalendo agli anni ’90, quando furono inviati i primi messaggi di phishing agli utenti AOL. Ma gli attaccanti continuano a perfezionare le loro tattiche.
I ricercatori di Sophos X-Ops hanno osservato un aumento degli schemi di business email compromise (BEC), in cui i criminali manipolano i dipendenti per indurli a trasferire fondi o rivelare informazioni sensibili. Le perdite economiche derivanti da truffe BEC, a livello globale, superano ormai i 3 miliardi di dollari l’anno.
L’unità Counter Threat Unit di Sophos X-Ops ha rilevato che il phishing è stato il vettore iniziale di accesso nel 43% delle attività di risposta a incidenti di emergenza dell’anno scorso. All’interno delle indagini MDR (Managed Detection and Response), dove gli analisti individuano in modo proattivo attività sospette prima che si trasformino in crisi, il phishing ha avuto un ruolo nel 65% dei casi.
Il messaggio è chiaro: che si tratti di una violazione in corso o di un segnale precoce, le minacce via email restano uno dei mezzi più comuni con cui gli attaccanti ottengono un punto d’appoggio. Ignorarle espone le organizzazioni a rischi seri.
L’ascesa del phishing potenziato dall’IA
Gli attaccanti stanno sfruttando strumenti di intelligenza artificiale generativa per creare email di phishing e messaggi spam sempre più convincenti. Anche se i criminali informatici non hanno ancora pienamente padroneggiato l’uso dell’IA, stanno sperimentando sempre di più con GPT e LLM (Large Language Models) per ampliare e automatizzare le loro campagne di phishing.
Alcuni attaccanti stanno creando propri GPT personalizzati per generare email di phishing e malware. Come riportato da X-Ops all’inizio dell’anno, “alcuni cybercriminali sembrano sempre più interessati a utilizzare l’intelligenza artificiale generativa per attività di spam e truffe. Abbiamo osservato vari esempi di criminali informatici che chiedono consigli o forniscono suggerimenti sull’uso dei GPT per creare email di phishing e SMS di spam.”
Il Sophos 2025 Annual Threat Report ha inoltre evidenziato l’uso crescente di IA generativa nelle email di phishing. Questi attacchi generati dall’IA stanno ridefinendo il panorama delle minacce e mettendo a rischio ogni casella di posta.
Gli LLM possono generare contenuti grammaticalmente corretti, personalizzati per ciascun bersaglio, eludendo così i filtri antispam basati su firme o modelli ripetitivi. Ciò significa che i filtri tradizionali non bastano più: le organizzazioni hanno bisogno di protezioni adattive, in grado di evolvere con la stessa velocità delle minacce.
Nell’ottobre 2024, Sophos AI ha dimostrato come sia possibile creare un’intera campagna di email mirate usando processi automatizzati basati su IA, sfruttando strumenti esistenti e informazioni raccolte dai profili social delle vittime. Questa dimostrazione ha evidenziato l’aumento della sofisticazione degli attacchi di phishing e la necessità di misure di sicurezza avanzate per contrastarli.
Un’altra tattica in rapida crescita è il QR code phishing (o quishing), che inserisce codici QR malevoli nei messaggi di posta per reindirizzare gli utenti verso siti di phishing. Questi attacchi si stanno evolvendo rapidamente, con design sempre più curati che superano i filtri tradizionali e spingono gli utenti ad aprire file o pagine web dannose.
Social engineering: il fattore umano
Spam e phishing non sfruttano falle tecniche — sfruttano le persone. E in ambienti frenetici, anche i dipendenti più attenti possono cadere in errore. La consapevolezza e la protezione multilivello sono fondamentali.
Il team Counter Threat Unit di Sophos X-Ops ha registrato un aumento di attacchi di social engineering innovativi nel 2024, con criminali che mirano sempre più al personale dell’help desk e sfruttano la fiducia umana più che le vulnerabilità tecniche.
Ad esempio, il gruppo di minaccia GOLD HARVEST ha usato falsi prompt di “verifica umana” rivolti a dipendenti che cercavano contenuti streaming su dispositivi aziendali. Le vittime dovevano eseguire sequenze di tasti per “dimostrare” di non essere bot, ma quelle azioni attivavano in realtà codice PowerShell malevolo per installare malware di tipo infostealer.
Questa tecnica è un esempio lampante di come gli attaccanti sfruttino curiosità e abitudini, aggirando i metodi di phishing tradizionali e puntando sulla manipolazione comportamentale.
Nemmeno le aziende di cybersecurity sono immuni. Sophos stessa è stata recentemente bersaglio di un attacco di phishing, a dimostrazione di quanto queste minacce siano pervasive ed efficaci. In quell’occasione, un dipendente senior è caduto in una trappola di phishing e ha inserito le proprie credenziali in una falsa pagina di login, consentendo il bypass della multi-factor authentication (MFA) e un tentativo di accesso alla rete aziendale. Diversi team di Sophos hanno collaborato per neutralizzare la minaccia e avviare nuove iniziative volte a migliorare la raccolta di intelligence e il rafforzamento dei processi di feedback.
Ecco in che modo Sophos Email protegge da phishing, spam e BEC
Sophos Email non si limita a tenere il passo con le minacce in evoluzione: le anticipa. Grazie ad analisi basate su IA e a un’integrazione completa, è progettato per bloccare phishing, spam e BEC prima che raggiungano la tua casella di posta.
Sophos Email offre:
- Opzioni di distribuzione flessibili
- Controlli di policy intuitivi
- Analisi avanzate delle minacce basate su oltre 20 modelli di IA e machine learning
- Integrazione perfetta con Sophos Central, Microsoft 365 e Google Workspace
La piattaforma Sophos analizza i messaggi alla ricerca di URL e codici QR malevoli, proteggendo gli utenti da phishing, malware, ransomware e siti web non sicuri. È una soluzione completa, pensata per difendere le organizzazioni dal crescente rischio di BEC e phishing.
Inoltre, Sophos introduce il nuovo Email Monitoring System (EMS) — un potenziamento per i clienti che utilizzano Microsoft M365 Defender, Google Workspace Security o altri servizi di email security di terze parti. EMS offre ai team di sicurezza visibilità approfondita, reportistica dettagliata e remediation rapida, semplificando la gestione e il controllo delle minacce.
È possibile attivare oggi stesso una prova gratuita di Sophos Email.
