Egidio
Dossier · 2026

Quando un antivirus non basta più

Il phishing di oggi non assomiglia più sempre a un'email piena di errori con un link sospetto. Due tecniche documentate aggirano specificamente le difese automatiche — l'una la doppia autenticazione, l'altra i filtri antispam.

🕵️Il furto di sessione dopo l'autenticazione (AiTM)

Invece di rubare una password, questa tecnica intercetta la sessione subito dopo che la vittima ha convalidato il proprio codice di doppia autenticazione — l'attaccante si posiziona come intermediario invisibile tra la vittima e il vero servizio. Risultato: la doppia autenticazione è avvenuta, ma non è servita a nulla. Solo nell'ottobre 2025, Microsoft ha bloccato oltre 13 milioni di email malevole legate a un solo di questi kit («Tycoon 2FA»), usato contro account Microsoft 365 in tutto il mondo.

Microsoft Defender for Office 365, ottobre 2025

☎️Il phishing tramite richiamata telefonica (TOAD)

Un'email senza link né allegati: solo un numero da richiamare per una fattura dubbia o un abbonamento da confermare. Senza URL da scansionare né file da analizzare, i filtri automatici classici non rilevano nulla — la truffa si gioca interamente al telefono, dove un falso consulente guida la vittima fino a fargli installare un accesso remoto o fornire le sue credenziali. La società di ricerca Trustwave ha misurato un aumento del 140% di queste campagne tra luglio e settembre 2024, con Microsoft, Norton, PayPal e DocuSign tra i marchi più imitati.

Trustwave, 2024-2025

Il punto in comune: aggirare l'automatismo, non l'attenzione

Queste due tecniche non sfruttano una falla tecnica nel senso classico — sfruttano un limite strutturale degli strumenti di rilevamento automatizzati, eliminando l'elemento che sanno analizzare (un link, un allegato). Ciò che resta è un'interazione umana costruita per apparire legittima: una pagina di accesso identica all'originale, o una voce rassicurante all'altro capo del telefono. È esattamente il tipo di schema che una protezione multicanale deve imparare a riconoscere, non a scansionare.

🔒 Un numero da richiamare in un'email sospetta, o una pagina di accesso che richiede di nuovo un codice già inserito: due segnali che un filtro classico può perdere, ma che un motore che collega i canali tra loro può incrociare. Vedi come funziona Medusa.

Domande frequenti

L'autenticazione a due fattori protegge ancora dal phishing?

Resta utile contro il furto di una semplice password, ma non più contro un attacco «adversary-in-the-middle»: l'attaccante intercetta la sessione subito dopo la convalida del codice, quindi la doppia autenticazione è già avvenuta — inutilmente.

Cos'è il phishing tramite richiamata telefonica (TOAD)?

Un'email senza link né allegati, solo un numero di telefono da richiamare per un motivo credibile (fattura, abbonamento). Una volta al telefono, un falso consulente guida la vittima fino a fargli installare un software o fornire le sue credenziali.

Perché queste tecniche sfuggono ai filtri automatici?

Perché spesso non contengono né link sospetti né allegati malevoli da scansionare — la truffa si gioca nell'interazione umana, al telefono o su una pagina che imita perfettamente quella vera.

Per approfondire