Gli URL malevoli dominano le campagne di phishing con una diffusione quattro volte superiore agli allegati; le campagne del malware ClickFix registrano un incremento del 400% anno su anno. Sono due dati significativi emersi dal report Human Factor Vol. 2 di Proofpoint, che documenta una evoluzione significativa nelle tattiche di phishing che stanno ridefinendo le priorità difensive delle organizzazioni globali.

In particolare, l'analisi condotta dagli esperti di threat intelligence di Proofpoint evidenzia che gli attaccanti hanno progressivamente abbandonato i tradizionali payload basati su file a favore di link malevoli, in modo da vincere la diffidenza degli utenti verso gli allegati. Il cambiamento si traduce in una superficie di attacco ampliata che si estende ben oltre la tradizionale casella di posta elettronica, perché chiama in causa anche canali di comunicazione mobile e ibridi come lo smishing e il QR code phishing.

Proprio questo tipo di tattica si sta rivelando vincente nella diffusione di malware in generale, e di ClickFix in particolare, veicolato tramite campagne che sfruttano interfacce utente ingannevoli in cui vengono simulati messaggi di errore o notifiche di sistema, per indurre le vittime a scaricare e installare il malware con un semplice clic.

L'analisi rivela inoltre che circa il 34% delle campagne malware basate su URL hanno distribuito software di accesso remoto. È un aspetto interessante, perché significa questo tipo di payload è alla base di attacchi mirati a stabilire persistenza all'interno delle reti compromesse, in modo da agevolare attività di ricognizione, esfiltrazione di dati critici e preparazione di attacchi più complessi, come i ransomware.

A proposito di nuove tecniche, i numeri riportati da Proofpoint destrano preoccupazione. Almeno il 55% dei messaggi smishing sospetti conteneva URL malevoli. Proofpoint ha identificato 4,2 milioni di minacce QR code nella prima metà del 2025: una tecnica che ha preso il via con la pandemia e che nel tempo ha generato fiducia e confidenza nei consumatori, tanto da portare molti a inquadrare i codici riportati ovunque. Peccato che spesso gli attaccanti sfruttino proprio QR malevoli per reindirizzare le vittime verso siti di phishing o per avviare download di malware: una tecnica ingegnosa di social engineering.

Le novità indicate sopra evidenziano la necessità di una revisione completa delle architetture di sicurezza, che devono evolversi per fornire una protezione multicanale efficace. Significa che le soluzioni di sicurezza email, pur rimanendo fondamentali, devono essere integrate con tecnologie capaci di analizzare e mitigare le minacce provenienti da SMS, applicazioni di messaggistica istantanea e codici QR.