Si sta diffondendo, negli ultimi mesi, un fenomeno che abbassa drasticamente la soglia tecnica per entrare nel mondo del cybercrime: si tratta del cosiddetto Phishing-as-a-Service (PhaaS), un modello a sottoscrizione che consente anche a utenti privi di competenze informatiche avanzate di lanciare campagne di phishing sofisticate e scalabili.

Il fenomeno non è nuovo, ma la crescente diffusione di kit pronti all’uso, l’integrazione con strumenti di intelligenza artificiale e l’organizzazione strutturata delle piattaforme PhaaS ne stanno aumentando drasticamente l’efficacia e la diffusione.

Phishing-as-a-Service: ora il PhaaS s’integra con l’AI

Il funzionamento è simile a quello delle legittime piattaforme Software-as-a-Service (SaaS): l’utente paga una quota, ottiene accesso a un’interfaccia utente intuitiva, modelli di mail, portali di login fasulli e strumenti per la gestione della campagna.

L’obiettivo finale è ottenere credenziali, dati bancari o informazioni sensibili da rivendere nel mercato secondario o da sfruttare in prima persona.

Le statistiche più recenti del Federal Bureau of Investigation (FBI) indicano che nel solo 2023 sono stati registrati quasi 300.000 casi di phishing e spoofing (esattamente 298.878), superando il numero combinato di casi di estorsione e violazione dei dati personali.

Piattaforme con assistenza ai clienti

Queste piattaforme, oltre a fornire i tool tecnici, offrono anche assistenza clienti, aggiornamenti regolari per eludere i filtri antispam, e dashboard in tempo reale per monitorare l’esito delle campagne. Sono quindi veri e propri ecosistemi criminali chiavi in mano, comparabili a startup illegali in piena regola.

Secondo Barracuda Networks, solo nei primi due mesi del 2025 sono stati tracciati oltre un milione di attacchi provenienti da piattaforme PhaaS, con picchi in cui circa il 25% delle mail analizzate risultavano spam o malevole, inclusi contenuti phishing.

La modularità

Una delle caratteristiche principali di questi servizi è la modularità. Gli operatori delle piattaforme possono concentrarsi sull’ottimizzazione dei tool di phishing, mentre i clienti finali si occupano dell’operatività. Questa divisione del lavoro, secondo BeyondTrust, favorisce l’innovazione, riduce i rischi per ciascun attore e consente una più rapida evoluzione degli strumenti offerti.

Le piattaforme PhaaS più attive accelerano con l’AI

Tra le piattaforme più attive figurano Tycoon 2FA, EvilProxy, Sneaky 2FA e Haozi.
Quest’ultima, secondo quanto riportato da Netcraft, è una piattaforma in lingua cinese che ha raggiunto quasi 1.700 utenti in pochi giorni, offrendo kit completi a circa 2.000 dollari l’anno, pagabili in criptovaluta.

Il sistema prevede anche una mascotte a forma di topo cartoon, a testimonianza del livello di marketing e branding raggiunto anche da questi strumenti illeciti.

Secondo Darktrace, alcune piattaforme sono in grado di replicare perfettamente interfacce come quella di Microsoft 365, riuscendo a intercettare non solo username e password, ma anche token di autenticazione multifattoriale.

Questo rende i sistemi aziendali particolarmente vulnerabili, soprattutto quando la consapevolezza dei dipendenti rispetto al phishing resta bassa.

L’uso dell’intelligenza artificiale rappresenta un ulteriore elemento di accelerazione per questo tipo di minacce. I modelli linguistici generativi aiutano a creare migliaia di email credibili in pochi secondi, personalizzate su misura delle vittime o segmentate per categoria, aumentando significativamente la probabilità di successo.

PhaaS sempre più integrate nella filiera criminale

Molte piattaforme offrono anche aggiornamenti automatici per aggirare i filtri di sicurezza più diffusi, oltre a sistemi di tracking che permettono di visualizzare in tempo reale quante credenziali sono oggetto di furto, da quali Paesi e su quali servizi.

Alcuni servizi PhaaS arrivano ad offrire addirittura tutorial video, canali di supporto su Telegram e test di simulazione delle campagne.

Uno degli aspetti meno visibili ma più rilevanti del modello PhaaS è la sua integrazione all’interno di una filiera criminale articolata, in cui ogni attore svolge un ruolo specifico.

Gli operatori delle piattaforme si occupano dello sviluppo e manutenzione degli strumenti. I clienti utilizzano tali strumenti per acquisire le credenziali; i dati sottratti vengono poi venduti ad altri gruppi, specializzati in estorsione, ransomware o spionaggio industriale.

Questa specializzazione consente un’elevata efficienza operativa, abbattendo i costi e minimizzando il rischio per ogni attore coinvolto. Si tratta di un’economia sommersa parallela a quella legittima, che sfrutta meccanismi di mercato e innovazione tecnologica per massimizzare i profitti, con gravi implicazioni per le infrastrutture critiche e la competitività economica.

L’aggiramento dell’autenticazione multifattoriale (MFA)

Tradizionalmente considerata uno dei pilastri della sicurezza digitale, l’autenticazione multifattoriale (MFA) è sempre più spesso aggirata grazie alle tecniche offerte dai kit PhaaS più avanzati.

Attraverso meccanismi di reverse proxy o session hijacking, è possibile intercettare i token temporanei emessi durante il login, rendendo inefficace anche un secondo fattore come il codice OTP o la notifica push.

Ciò impone una revisione critica delle strategie di autenticazione aziendale, promuovendo soluzioni basate su dispositivi hardware, autenticazione biometrica e verifiche comportamentali.

Il ruolo del dark web e attori nation-state

Un altro fattore che alimenta la diffusione del Phishing-as-a-Service è la presenza di un mercato secondario maturo sul dark web.

Le credenziali ottenute tramite phishing vengono rivendute a operatori ransomware, gruppi di estorsione o altri attori malevoli che desiderano saltare la fase iniziale di compromissione e passare direttamente all’esfiltrazione dei dati o all’installazione di malware.

In questo modo, i ricavi derivanti da una singola campagna possono moltiplicarsi lungo tutta la filiera del crimine informatico.

Infine si osserva il coinvolgimento di gruppi sponsorizzati da Stati, come dimostrato dalla recente segnalazione congiunta di Microsoft e dei servizi di intelligence olandesi: un gruppo legato al Cremlino, noto come Void Blizzard o Laundry Bear, ha utilizzato una piattaforma open-source derivata da Evilginx per colpire enti governativi nei Paesi Bassi, in Ucraina e all’interno della Nato.

Servono strategie integrate di prevenzione

L’escalation di PhaaS impone una riflessione urgente non solo sul piano tecnico, ma anche su quello culturale e formativo.

Gli strumenti di phishing stanno diventando sempre più accessibili, economici e difficili da individuare. Servono strategie integrate di prevenzione, consapevolezza e aggiornamento continuo delle contromisure, anche da parte degli enti pubblici e delle aziende italiane più esposte.

La prevenzione deve passare non solo per il potenziamento dei sistemi di difesa, ma anche attraverso una formazione diffusa e continua che metta i cittadini e i dipendenti in grado di riconoscere le insidie, anche quando mascherate da innocue email apparentemente legittime.

Il modello PhaaS rappresenta una minaccia in crescita, sostenuta da logiche economiche e tecnologiche efficienti. Affrontarla richiederà uno sforzo coordinato che unisca investigazione, regolamentazione, educazione e aggiornamento tecnologico costante.