Vai al contenuto
Prova RSA Cloud Security gratuitamente

Inizia subito il tuo periodo di prova ID Plus.

Inizia
Cos'è il phishing delle credenziali?

Il phishing delle credenziali è un tipo specifico di phishing attacco informatico che mira a indurre gli utenti a condividere le proprie credenziali (in genere nomi utente e password) in modo che l'aggressore possa rubarle e utilizzarle per ottenere l'accesso non autorizzato a account e-mail, sistemi aziendali e altre risorse sicure. Questo tipo di furto di credenziali è un sottoinsieme del phishing in generale, che più in generale tenta di rubare una varietà di tipi di informazioni sensibili, tra cui i dati della carta di credito o del conto bancario, i numeri di previdenza sociale e le informazioni organizzative di valore, come i dati dei clienti o la proprietà intellettuale.

Il phishing delle credenziali è un problema in crescita, per usare un eufemismo: uno studio ha riportato una 703% aumento del phishing delle credenziali nella seconda metà del 2024, rispetto a un aumento di appena 202% delle minacce complessive di phishing basate su e-mail. (Si sa che c'è un grosso problema quando un aumento del 202% può essere considerato relativamente basso). L'enorme aumento è attribuibile a una combinazione di fattori:

  • Attacchi di phishing basati sull'intelligenza artificiale rendono più facile che mai per i criminali informatici generare messaggi convincenti per indurre gli utenti ad accettare false richieste di credenziali.
  • Ingegneria sociale, che si è rivelato molto efficace nell'ingannare gli utenti a cliccare sui link nei messaggi di phishing, sta svolgendo un ruolo sempre più importante nel phishing delle credenziali.
  • Multicanale Il phishing di credenziali, ossia l'utilizzo non solo di e-mail, ma anche di SMS, social media e piattaforme di collaborazione, aumenta la portata degli aggressori.

Tutto ciò avviene nel contesto del fatto che il furto di credenziali è stato a lungo, e continua ad essere, un problema di sicurezza. basso sforzo, alta ricompensa tipo di attacco.

La buona notizia? Mentre gli attacchi di phishing delle credenziali sono in aumento, aumentano anche gli sforzi delle organizzazioni per prevenire il phishing. autenticazione senza password e autenticazione a più fattori (MFA) agli strumenti di difesa basati sull'intelligenza artificiale. Continuate a leggere per saperne di più su come il phishing delle credenziali si è evoluto nel tempo, sulle tattiche più comuni utilizzate in questo tipo di attacchi e sugli strumenti e le strategie disponibili per combattere il phishing delle credenziali.

Evoluzione del phishing delle credenziali

Metà degli anni '90: Il Il phishing delle credenziali più antiche sembra essere avvenuto a metà degli anni Novanta, quando i truffatori si sono spacciati per dipendenti di AOL per indurre gli utenti a rivelare le proprie credenziali di accesso. Anche se sembra che il loro scopo fosse semplicemente quello di evitare di pagare l'accesso a Internet, le loro attività hanno aperto la strada a truffe più sofisticate, distruttive e costose in futuro.

Primi anni 2000: Il phishing delle credenziali all'inizio degli anni 2000 era ancora relativamente poco sofisticato e spesso si basava su messaggi semplicistici e prodotti in serie per convincere le persone a condividere le proprie credenziali di accesso. Il 2003 ha segnato l'inizio di un cambiamento in questo schema, quando gli aggressori hanno iniziato a creare versioni quasi identiche di siti legittimi come eBay e PayPal per indurre gli utenti a inserire le proprie credenziali.

2010-2020: Lo spear phishing è emerso negli anni 2010 per trasformare il furto di credenziali, soprattutto a livello organizzativo. Funziona prendendo abilmente di mira persone specifiche con messaggi ben confezionati che spesso pretendono di provenire da reparti critici come le risorse umane, la fatturazione o il supporto informatico. Compromissione della posta elettronica aziendale (BEC) è un tipo di attacco di ingegneria sociale che utilizza il phishing sotto forma di imitazioni di e-mail estremamente sofisticate (come false richieste da parte di dirigenti di livello C) per colpire i destinatari, che vengono ingannati pensando di rispondere a qualcuno della loro organizzazione.

2020-oggi: Il phishing delle credenziali oggi è sempre più probabile che sia Guidato dall'intelligenza artificiale, permettendo agli aggressori di generare e-mail di phishing grammaticalmente impeccabili, perfettamente contestuali e più autentiche che mai. L'intelligenza artificiale generativa sta anche rendendo incredibilmente facile e veloce la creazione di questi nuovi e più convincenti messaggi; secondo IBM, I truffatori che utilizzano l'intelligenza artificiale generativa possono sviluppare messaggi efficaci in soli cinque minuti (invece delle ore che possono essere necessarie per farlo manualmente).

Tattiche comuni di phishing delle credenziali

Nel phishing delle credenziali, l'aggressore si spaccia per una fonte affidabile (come il datore di lavoro, la banca o un sito web utilizzato di frequente) e invia all'utente un'e-mail, un testo o un altro tipo di messaggio con l'obiettivo di fargli compiere un'azione che comprometterà le sue credenziali. All'interno di questo quadro generale, un aggressore può utilizzare una serie di tattiche diverse per condurre attacchi di phishing delle credenziali:

Email ingannevoli

Le e-mail ingannevoli sono il tipico punto di ingresso per molti attacchi di phishing di credenziali. Questi tipi di e-mail hanno spesso successo come veicolo per il phishing di credenziali perché sembrano provenire da fonti di cui il destinatario si fida e non sono quindi in grado di destare sospetti. Più una comunicazione e-mail appare genuina, più è probabile che il mittente abbia successo nel tentativo di sfruttare la fiducia.

Le caratteristiche di un attacco di phishing di credenziali che utilizza comunicazioni ingannevoli includono:

  • Impersonificazione: La comunicazione sembra provenire da una fonte legittima già nota al destinatario.
  • Persuasione: L'oggetto e/o le prime parole sono scritti per provocare una reazione come l'urgenza, la paura o anche solo la curiosità. I criminali informatici prosperano grazie all'urgenza, che tende a spingere gli utenti a reagire rapidamente invece di prendersi il tempo necessario per valutare se agire o meno.
  • Inganno: Il messaggio sottolinea una necessità inesistente di un'azione estremamente urgente.
  • Agibilità: Le e-mail di phishing tendono a includere un link o un allegato che faciliti il passo successivo.
  • Altro inganno: L'azione del destinatario porta a una finta pagina di login in cui vengono acquisite le credenziali.

Pagine di login false 

Le false pagine di login sono uno degli strumenti più comuni utilizzati negli attacchi di phishing delle credenziali nelle organizzazioni. Sono estremamente efficaci nelle organizzazioni che non dispongono di un MFA resistente al phishing.

Gli attacchi che utilizzano pagine di login false iniziano con una ricognizione da parte dell'aggressore per scoprire quali sono i servizi o le piattaforme comunemente utilizzati da un'organizzazione (Microsoft 365 o Google Workspace, ad esempio) e quali sono i formati di posta elettronica e il branding dell'organizzazione. Da qui l'aggressore può creare un'e-mail di phishing delle credenziali che sembra provenire da un dipartimento interno o da un fornitore noto e che include un oggetto destinato a evocare un senso di urgenza ("Password in scadenza - Azione immediata richiesta" o "La vostra fattura è pronta - Visualizzatela in modo sicuro") e un link evidente a una pagina di login falsa.

Una volta che un dipendente fa clic sul link e inserisce le proprie credenziali nella presunta pagina di login, queste vengono inoltrate all'aggressore, che può quindi utilizzarle per accedere ai sistemi dell'organizzazione e muoversi lateralmente attraverso la rete, infiltrando dati, impiantando malware, lanciando ulteriori attacchi BEC o facendo phishing da un account compromesso.

Tattiche multicanale

L'e-mail non è l'unico modo per ottenere le credenziali e, man mano che gli utenti diventano più consapevoli e abili nel difendersi dal phishing delle credenziali basato sull'e-mail, gli aggressori si stanno spostando su altre vie di attacco, tra cui:

  • Smishing (phishing via SMS) possono essere utilizzati per inviare via SMS falsi avvisi di login, avvisi di tracciamento dei pacchi o richieste di autenticazione a due fattori per indurre gli utenti a cliccare su un link.
  • Vishing (phishing vocale) consiste in chiamate che fingono di provenire dall'help desk o dal team di supporto IT e che indirizzano gli utenti a un sito web di phishing.
  • Phishing dalle piattaforme di collaborazione utilizza messaggi su Slack, Teams, LinkedIn o altre piattaforme per indurre gli utenti a cliccare su link falsi o a scaricare allegati che sembrano essere contenuti legati al lavoro.
  • Codice QR phishing prevede l'invio di e-mail di phishing con credenziali che includono codici QR che collegano a siti di raccolta delle credenziali; l'uso dei codici QR aggira i tradizionali filtri di scansione dei link.

Imbottitura di credenziali

Il credential stuffing, in cui i criminali informatici utilizzano un gran numero di credenziali rubate per tentare di accedere a più siti, è una tattica che lavora in tandem con il credential phishing per massimizzare i danni del phishing delle credenziali. Le due tattiche possono essere utilizzate insieme in attacchi stratificati in cui le credenziali vengono raccolte tramite il credential phishing e poi applicate agli obiettivi.

Ad esempio, un utente malintenzionato potrebbe ottenere le credenziali di accesso per un account Microsoft 365 e poi utilizzare il credential stuffing per provare le credenziali Microsoft su una serie di altri siti o servizi, ad esempio Salesforce, Google (posta, documenti, password manager). In pratica, l'aggressore scommette sul fatto che qualcuno utilizzi le stesse credenziali su più siti.

Spruzzatura di password 

Come il credential stuffing, il password spraying viene utilizzato insieme al credential phishing per massimizzare la portata e il successo dell'attacco di phishing, soprattutto negli ambienti organizzativi. In questo tipo di schema, l'aggressore:

  1. Raccoglie un elenco di nomi utente attraverso il phishing delle credenziali
  2. Combina un nome utente con una password facile da indovinare (come password123 o welcome123) per cercare di accedere a più account.

La ragione più ovvia per cui il password spraying funziona è che sfrutta la scarsa igiene delle password; se le persone non usassero password facili da indovinare, la tattica non andrebbe lontano. È anche difficile da rilevare su scala senza strumenti di monitoraggio avanzati.

Validazione di precisione del phishing

Il phishing convalidato con precisione è emerso nel 2025 come modo per gli aggressori di essere sicuri che le credenziali rubate tramite phishing siano effettivamente associate ad account online validi. Utilizza un'API o un JavaScript integrato per confermare l'indirizzo e-mail in tempo reale, prima che avvenga il tentativo di phishing. Il phishing validato da Prevision può rendere il phishing delle credenziali molto più efficiente e accurato, con poco sforzo o spreco di energia nel tentativo di utilizzare credenziali non accurate.

Prevenzione del phishing delle credenziali 

Il phishing delle credenziali può infliggere molti danni a un'organizzazione. Il Rapporto IBM sul costo di una violazione dei dati ha rilevato che il phishing è una delle cause più frequenti e più costose di violazione dei dati, con un costo medio di $4,88 milioni e un tempo medio di contenimento di 261 giorni.

Ma la prevenzione del phishing delle credenziali può aiutare a garantire che i tentativi di phishing delle credenziali non vadano mai lontano. RSA offre un'ampia gamma di prodotti e servizi in aree chiave relative alla prevenzione del phishing delle credenziali.

Autenticazione senza password

Può sembrare ovvio, ma è bene sottolinearlo: La criminalità informatica che si basa sul furto di credenziali non funziona se non ci sono credenziali da rubare. Questo è ciò che rende autenticazione senza password così prezioso per bloccare il phishing delle credenziali.

In qualità di membro del Alleanza FIDO, RSA si impegna a contribuire alla costruzione di un mondo con meno password e meno problemi di sicurezza legati alle password. L'autenticazione senza password di RSA protegge l'accesso dove è più importante: nei punti del ciclo di vita dell'identità che sono particolarmente vulnerabili agli attacchi basati sulle credenziali. RSA offre un'autenticazione senza password con una disponibilità del 99,99%, compresa una failover ibrido che consente l'autenticazione anche in assenza di una connessione di rete, e fornisce un'ampia gamma di opzioni senza password:

MFA resistente al phishing

Così come l'autenticazione senza password elimina le credenziali che il phishing cerca di rubare, l'MFA resistente al phishing elimina il meccanismo con cui vengono rubate: il phishing.

La serie di autenticatori RSA iShield Key 2 è progettato specificamente per proteggere dagli attacchi basati sulle credenziali, offrendo un MFA resistente al phishing e basato su hardware e incorporando un modulo crittografico certificato FIPS 140-3 di livello 3 e un'autenticazione hardware AAL3. I vantaggi della serie RSA iShield includono:

  • Conformità ai più recenti standard federali per la sicurezza crittografica
  • Funzionalità per la sicurezza dell'identità che fanno progredire l'architettura Zero Trust
  • Certificazione FIDO2 per un viaggio sicuro e senza attrito senza password
  • Distribuzione e gestione flessibile delle chiavi di accesso

Single sign-on con identity provider

L'utilizzo di un servizio di autenticazione centralizzato di un identity provider per accedere a più siti e servizi significa che i potenziali punti di accesso degli aggressori si riducono drasticamente da centinaia a uno solo, e un punto di accesso è molto più facile da proteggere e monitorare rispetto a decine di accessi diversi.

La mia pagina RSA è la soluzione SSO ospitata nel cloud che consente agli utenti di gestire in modo rapido e sicuro l'accesso alle applicazioni critiche e ad altre risorse attraverso un unico comodo portale:

  • Accesso rapido dell'utente a più applicazioni con un unico set di credenziali
  • Comoda autoregistrazione dell'autenticatore e autogestione delle credenziali
  • Riduzione dell'onere e dei costi per il personale dell'help desk e per gli amministratori IT.
  • Tempi di attesa più brevi quando c'è una legittima necessità di assistenza da parte dell'help desk

Tasti di passaggio

I passepartout offrono agli utenti un modo per accedere a siti Web e applicazioni senza dover mai inserire una password, rendendo il processo di accesso più sicuro (nessuna password da rubare) e più comodo (nessuna password da ricordare). I passepartout sono molto più sicuri delle password perché non vengono mai riutilizzati come le password e perché sono resistenti al phishing (in quanto eliminano la possibilità di essere ingannati da un sito web falso).

Passkey nell'app RSA Authenticator forniscono un'autenticazione senza password, resistente al phishing, fornita direttamente ai dispositivi mobili degli utenti. Questa funzionalità di passkey:

  • Supporta la Zero Trust affrontando l'ingegneria sociale e il phishing delle credenziali.
  • Aiuta le organizzazioni a conformarsi ai requisiti normativi per MFA resistente al phishing
  • Si integra facilmente in qualsiasi ambiente IT esistente
  • È legato al dispositivo, quindi non lascia mai il dispositivo, garantendo la massima sicurezza possibile.

Fiducia zero 

Zero Trust combatte il phishing perché crea un ambiente in cui le organizzazioni verificano sempre l'affidabilità di coloro che cercano di accedere alle risorse dell'organizzazione. Le organizzazioni che operano secondo il principio principi di Fiducia Zero rendono molto più difficile l'accesso ai malintenzionati che desiderano ottenere le credenziali, o che vogliono spostarsi lateralmente oltre le credenziali ed elevare i propri privilegi.

RSA supporta Zero Trust fornendo i componenti della gestione dell'identità e dell'accesso (IAM) che sono fondamentali per lavorare nell'ambito del framework NIST Zero Trust. Questi includono:

  • MFA
  • Governance e amministrazione dell'identità (IGA)
  • Analisi basata sul rischio
  • Accesso basato sui ruoli
  • Accesso basato sugli attributi

AI

Se l'intelligenza artificiale è stata una manna per i criminali informatici che effettuano attacchi di phishing di credenziali, è anche estremamente preziosa per coloro che dall'altra parte si battono per fermare il phishing di credenziali. Secondo il 2025 Rapporto RSA ID IQ, Il 78% delle organizzazioni intervistate ha dichiarato di avere in programma l'implementazione immediata di automazione, machine learning o altre forme di AI nel proprio stack di cybersecurity.

RSA ha sviluppato funzionalità guidate dall'intelligenza artificiale nella gestione dell'autenticazione e degli accessi per aiutare le organizzazioni a rilevare, rispondere e prevenire gli attacchi di phishing delle credenziali:

  • RSA Risk AI impiega l'analisi comportamentale e l'apprendimento automatico per rilevare i tentativi di acquisizione di account basati sul phishing, in modo che i team IT possano affrontarli prima che causino danni.

Governance e ciclo di vita RSA utilizza l'intelligenza artificiale per rilevare le anomalie nelle richieste di accesso, fornendo agli amministratori le informazioni necessarie per evitare che vengano concessi accessi potenzialmente rischiosi.

Il futuro del phishing delle credenziali

Il phishing delle credenziali in futuro probabilmente coinvolgerà l'intelligenza artificiale, la tecnologia deepfake e l'ingegneria sociale avanzata. rapporto recente. Non c'è da stupirsi, visto il successo che i criminali informatici hanno riscosso utilizzando queste e altre tattiche tecnologiche avanzate ed emergenti.

Ma la buona notizia è che si troveranno sempre più spesso a confrontarsi con organizzazioni altrettanto impegnate nell'applicazione dell'IA e di altre tecnologie nel tentativo di respingere gli attacchi.

Oggi le potenziali vittime del phishing delle credenziali si stanno difendendo adottando soluzioni MFA e senza password resistenti al phishing, lavorando verso l'azzeramento della fiducia, combattendo l'AI con l'AI e adottando altre misure per difendersi. Il 2025 Rapporto RSA ID IQ ha rilevato che l'80% degli intervistati ritiene che l'IA aiuterà le organizzazioni nella sicurezza informatica nei prossimi cinque anni, mentre solo un quinto ritiene che l'IA farà di più per abilitare gli attori delle minacce in quel periodo.

Come RSA può aiutare a prevenire il phishing delle credenziali

Quando la vostra organizzazione continua a combattere il phishing delle credenziali, affidatevi a RSA per avere un aiuto, con funzionalità quali autenticazione senza password (comprese le passkey) e MFA resistente al phishing con l'ausilio dell'intelligenza artificiale, il tutto implementato in un ambiente utente orientato alla sicurezza che include l'SSO, e il tutto integrato in un impegno generale verso i principi di fiducia zero che sono essenziali per la difesa informatica oggi e lo saranno anche in futuro.

Potresti essere interessato anche a...

Richiedi una demo

Richiedi una demo