Un messaggio su tre è dannoso o spam, il 48% degli attacchi è phishing e il 90% delle campagne massive usa kit pronti all'uso. Ecco i numeri di una minaccia intramontabile.
Autore: Redazione SecurityOpenLab
Un messaggio email su tre è dannoso o indesiderato. Il phishing rappresenta il 48% di tutta l'attività email malevola; il 34% delle aziende subisce almeno un incidente di furto di account ogni mese; il 90% delle campagne di phishing ad alto volume utilizza kit pronti all'uso acquistabili in abbonamento. Sono i dati di apertura del Report sulle minacce via email 2026 di Barracuda Networks, costruito sull'analisi di oltre 3,1 miliardi di messaggi email.
Ne emerge un quadro descrive un vettore intramontabile: l'email rimane il punto di ingresso preferito dagli attaccanti perché consente un accesso diretto e percepito come fidato alle reti aziendali. La novità è la struttura industriale che alimenta gli attacchi, con phishing-as-a-service (PhaaS) e social engineering assistito dall'AI: due fattori che stanno alzando simultaneamente volume, velocità e complessità delle campagne, riducendo al contempo il livello di competenza tecnica necessario per lanciarle.
Ricordiamo che PhaaS è un modello in abbonamento che mette a disposizione degli attaccanti modelli di phishing pronti all'uso, pagine di login false, infrastrutture di hosting e strumenti di automazione, tutto a costi contenuti e senza bisogno di competenze avanzate. Chiunque può acquistare l'accesso a una piattaforma e colpire migliaia di destinatari contemporaneamente. Il risultato è l'industrializzazione del phishing: campagne che si lanciano più rapidamente, con volumi più alti e tassi di successo più stabili rispetto alle campagne artigianali del passato.
La variante più insidiosa è quella che incorpora tecniche adversary-in-the-middle (AiTM): le piattaforme PhaaS più avanzate agiscono come proxy interposti tra la vittima e il servizio legittimo, così da intercettare in tempo reale sia le credenziali sia i token di sessione generati dall'autenticazione a più fattori. In questo modo l'MFA viene aggirata perché la sessione autenticata viene rubata immediatamente dopo la sua creazione.
Il phishing, con il 48% del totale, è di gran lunga la categoria dominante, ma non è l’unica minaccia che arriva via email. Lo spam pesa per il 16%; gli allegati dannosi per l'1,8%; spoofing e impersonazione per il 3,8%. La posta non autenticata, ovvero quella priva di verifica tramite protocolli SPF, DKIM o DMARC, rappresenta il 6,9% e costituisce un rischio amplificatore perché rende più facili le campagne di spoofing.
Il Business Email Compromise (BEC) vale appena lo 0,06% in volume, ma è la categoria con l'impatto economico più elevato in assoluto: messaggi personalizzati che impersonano dirigenti o partner commerciali per convincere i dipendenti a trasferire fondi o comunicare informazioni riservate. Il rapporto segnala anche il conversation hijacking (0,10%), una tecnica in cui l'attaccante si inserisce in un thread di email già in corso dopo aver compromesso un account, sfruttando la fiducia costruita nei messaggi precedenti per manipolare le decisioni.
Tra i formati di allegato analizzati, quello HTML è il più usato con finalità malevole in proporzione al proprio volume: circa l'11% degli allegati HTML rilevati risulta dannoso, e questa categoria rappresenta circa due terzi di tutti i file malevoli intercettati. Il motivo è che gli allegati HTML vengono aperti nel browser dell'utente, dove possono eseguire script incorporati che reindirizzano a pagine di raccolta credenziali, caricano dinamicamente contenuti malevoli o aggirano la riscrittura degli URL applicata dai sistemi di sicurezza. A differenza di un link nel corpo del messaggio, il contenuto malevolo è già consegnato nella casella di posta prima che qualsiasi controllo post-consegna possa intervenire.
I documenti Microsoft 365 mostrano un tasso di malizia molto più basso (0,15%), ma rappresentano un rischio di altra natura: la fiducia che gli utenti ripongono in questi formati, profondamente integrati nei flussi di lavoro aziendali, li rende un veicolo efficace per la distribuzione di malware tramite macro o link incorporati. I PDF hanno un tasso di compromissione simile (0,15%) ma sono sempre più usati come contenitori per un secondo strato di attacco: il 70% dei PDF malevoli rilevati contiene codici QR che rimandano a siti di phishing.
Peraltro, il phishing veicolato tramite codice QR è identificato come quishing ed è indicato come una delle tendenze più significative documentate nel report: il 56% dei documenti Microsoft 365 malevoli analizzati da Barracuda conteneva codici QR, a conferma che la tecnica è ormai consolidata nelle campagne strutturate.
Il report dedica poi un’attenzione specifica all'account takeover: il 34% delle aziende subisce almeno un incidente di questo tipo ogni mese. La compromissione di un account aziendale apre alla possibilità di condurre campagne di phishing interno, ovvero messaggi inviati da account legittimi verso colleghi o partner, aggirando qualsiasi filtro basato sulla reputazione del mittente. Inserendosi in thread di conversazione già in corso (il conversation hijacking citato sopra), l'attaccante può sfruttare il contesto e la fiducia costruita nei messaggi precedenti per manipolare decisioni finanziarie o operative con un tasso di successo molto più alto rispetto a un'email esterna.
L’ultima nota importante del report riguarda le PMI, colpite in modo sproporzionato dalle minacce email a causa di team IT più piccoli, infrastrutture di sicurezza meno mature e budget limitati, che impediscono di intercettare attacchi sofisticati come BEC, phishing personalizzato e ransomware.