🕵️Il furto di sessione dopo l'autenticazione (AiTM)
Invece di rubare una password, questa tecnica intercetta la sessione subito dopo che la vittima ha convalidato il proprio codice di doppia autenticazione — l'attaccante si posiziona come intermediario invisibile tra la vittima e il vero servizio. Risultato: la doppia autenticazione è avvenuta, ma non è servita a nulla. Solo nell'ottobre 2025, Microsoft ha bloccato oltre 13 milioni di email malevole legate a un solo di questi kit («Tycoon 2FA»), usato contro account Microsoft 365 in tutto il mondo.
Microsoft Defender for Office 365, ottobre 2025☎️Il phishing tramite richiamata telefonica (TOAD)
Un'email senza link né allegati: solo un numero da richiamare per una fattura dubbia o un abbonamento da confermare. Senza URL da scansionare né file da analizzare, i filtri automatici classici non rilevano nulla — la truffa si gioca interamente al telefono, dove un falso consulente guida la vittima fino a fargli installare un accesso remoto o fornire le sue credenziali. La società di ricerca Trustwave ha misurato un aumento del 140% di queste campagne tra luglio e settembre 2024, con Microsoft, Norton, PayPal e DocuSign tra i marchi più imitati.
Trustwave, 2024-2025Il punto in comune: aggirare l'automatismo, non l'attenzione
Queste due tecniche non sfruttano una falla tecnica nel senso classico — sfruttano un limite strutturale degli strumenti di rilevamento automatizzati, eliminando l'elemento che sanno analizzare (un link, un allegato). Ciò che resta è un'interazione umana costruita per apparire legittima: una pagina di accesso identica all'originale, o una voce rassicurante all'altro capo del telefono. È esattamente il tipo di schema che una protezione multicanale deve imparare a riconoscere, non a scansionare.
Domande frequenti
L'autenticazione a due fattori protegge ancora dal phishing?
Resta utile contro il furto di una semplice password, ma non più contro un attacco «adversary-in-the-middle»: l'attaccante intercetta la sessione subito dopo la convalida del codice, quindi la doppia autenticazione è già avvenuta — inutilmente.
Cos'è il phishing tramite richiamata telefonica (TOAD)?
Un'email senza link né allegati, solo un numero di telefono da richiamare per un motivo credibile (fattura, abbonamento). Una volta al telefono, un falso consulente guida la vittima fino a fargli installare un software o fornire le sue credenziali.
Perché queste tecniche sfuggono ai filtri automatici?
Perché spesso non contengono né link sospetti né allegati malevoli da scansionare — la truffa si gioca nell'interazione umana, al telefono o su una pagina che imita perfettamente quella vera.