Per caso hai notato che negli ultimi mesi stai ricevendo più messaggi di phishing? Non è solo una tua impressione: secondo le ultime ricerche, il phishing continua ad aumentare e tra i responsabili ci sono i kit di phishing già pronti.
I criminali informatici si sono evoluti e hanno creato un intero mercato intorno al phishing. Il risultato è che ora quasi chiunque può accedere agli strumenti necessari per lanciare una campagna di phishing e quindi le persone ricevono sempre più messaggi fraudolenti.
Questo modello è stato battezzato Phishing as a Service, perché ricalca il modo in cui vengono venduti i servizi digitali online (Software as a Service). In questo articolo vediamo in cosa consiste, cosa cambia per te e qualche consiglio utile per proteggerti dal phishing nel 2026.
Buona lettura!
Phishing as a Service: I kit di phishing pronti per l’uso
Il nome di questo modello di business viene da SaaS che sta per “software as a service”. E descrive il modo in cui molte aziende tecnologiche di oggi vendono i loro servizi, ossia su abbonamento. L’utente paga un canone mensile e può accedere a piattaforme, assistenza, risorse e molto altro, spesso in funzione delle proprie esigenze e del proprio budget.
Con il phishing sta succedendo la stessa cosa. I cybercriminali più competenti sviluppano interi kit per il phishing e li mettono in vendita tramite abbonamento sul dark web, nei forum criminali e sui canali Telegram.
Il piccolo criminale alle prime armi paga il canone o un costo una tantum e accede alla piattaforma da cui può creare siti falsi, campagne di email fraudolente, sistemi progettati per rubare i codici di autenticazione a due fattori. E perfino malware per infettare i dispositivi delle vittime.
Il risultato finale è che a noi utenti di internet sembra che le truffe con SMS o email siano ovunque, ed effettivamente lo sono! Secondo l’azienda Barracuda, dall’inizio del 2025 circa il 60-70% degli attacchi di phishing osservati erano attacchi basati su Phishing-as-a-Service.
Cosa contengono i kit di Phishing as a Service
Come abbiamo visto, sono un po’ come i software in abbonamento, ma per creare truffe: il criminale paga per i servizi che vuole usare, in base all’accesso e alla durata che desidera.
I kit di phishing contengono molti strumenti diversi:
- Modelli di email o SMS falsi già pronti.
- Siti falsi e personalizzabili che imitano siti famosi.
- Hosting di pagine fraudolente.
- Automazioni per inviare messaggi.
- Aggiornamenti.
- In alcuni casi persino supporto tecnico.
- Sistemi di raccolta dei dati rubati.
Uno degli aspetti più preoccupanti è che questi servizi sono in vendita a cifre molto basse. Alcuni partono addirittura da 99 dollari al mese.
La “democratizzazione” delle truffe informatiche è quindi una minaccia diretta alla sicurezza delle persone, perché ha fatto lievitare enormemente il volume di truffe, SMS falsi, siti fraudolenti e altri tentativi di phishing.
Come funziona un attacco di phishing con un kit
Vediamo brevemente come si articola il tipico attacco di phishing lanciato tramite i kit in vendita sul dark web o sui canali illegali di Telegram:
- Il criminale compra o noleggia un kit.
- Carica una lista di indirizzi email, numeri o account da colpire. (Le cosiddette combo list, anch’esse in vendita sul dark web a prezzi modici).
- Sceglie un modello di sito. Banca, corriere, servizio streaming, account Microsoft, Google, PayPal ecc.
- Lancia la campagna.
- Se la vittima inserisce dati o le proprie credenziali di accesso, il kit li salva in un database e li rende disponibili nel pannello di controllo del criminale.
Alcune piattaforme sono talmente avanzate da permettere il tracciamento delle vittime, statistiche sull’efficacia degli attacchi e opzioni di personalizzazione. Da questo punto di vista, i kit di phishing ricordano le piattaforme di marketing e i software di analisi come Google Analytics, ma con scopi evidentemente illegali!
LEGGI ANCHE: Password rubate: come vengono usate nel 2026.
Chi prende di mira il phishing
Vale la pena ricordare che, contrariamente a quanto pensano ancora molte persone, il phishing non colpisce solo i dirigenti delle grandi aziende. Anzi, di solito le campagne sono a tappeto e cercano di mietere quante più vittime possibile.
I criminali che acquistano kit di Phishing as a Service puntano sulla quantità. Su 10.000 account contattati magari risponderanno solo 50 o 60, ma quei pochi potrebbero condividere i dati della carta di credito o altre informazioni personali.
Ecco, quindi, che nessuno è veramente immune da questi attacchi. Singoli utenti di internet, gamer, dipendenti di piccole imprese, organizzazioni con protezioni deboli e così via.
La maggior parte degli attacchi di phishing simula servizi molto famosi e utilizzati, come Netflix, le banche online, i corrieri internazionali, i marketplace come AliExpress e le grandi aziende tecnologiche come Meta e Microsoft.
Come proteggersi dagli attacchi di phishing nel 2026
Mettiamo insieme i dati che abbiamo raccolto finora. I kit di phishing abbassano le barriere d’entrata e aumentano il volume degli attacchi in tutto il mondo. Nel frattempo, l’uso dell’AI generativa semplifica il lancio di attacchi su larga scala e rende le truffe più credibili.
Tutto questo significa che nel 2026 non basta più controllare se un’email è scritta male come nel 2010. Servono controlli più dettagliati e strumenti di sicurezza specifici:
- Controlla l’indirizzo del mittente o (nel caso di SMS) il numero e il prefisso.
- Sul computer, passa il mouse sui link senza cliccare per vedere dove portano.
- Sul telefono, fai ancora più attenzione perché il dominio non è visibile. Inoltre, non abbassare la guardia, perché i kit di Phishing as a Service sono responsive. Si adattano anche agli schermi mobile.
- Non inserire password dopo aver cliccato su link o pulsanti.
- Non fidarti di messaggi urgenti, che ti chiedono di agire in fretta.
- Entra nel servizio o nell’app ufficiale, per controllare se le richieste sono legittime.
- Ricorda che banche e aziende online non chiedono mai i tuoi dati per email o SMS.
- Usa password diverse per ogni account, in modo che se uno viene compromesso, gli altri rimangono a salvo.
- Attiva l’autenticazione a 2 fattori, meglio se tramite app o passkey piuttosto che con i codici monouso, che possono essere intercettati (non è facilissimo, ma è possibile).
- Mantieni aggiornati sistema operativo, browser e app per approfittare di tutte le nuove protezioni contro il phishing e le nuove minacce.
- Se hai inserito dei dati in una pagina fraudolenta e te ne accorgi in ritardo, cambia la password, contatta l’azienda reale e tieni sotto controllo i tuoi account e il tuo conto in banca per qualche giorno.
Come vedi, proteggersi è possibile, ma oggi richiede qualche accortezza tecnica in più. I kit di phishing pronti all’uso hanno aperto le porte a migliaia di nuovi criminali informatici, poco esperti e pasticcioni ma pur sempre pericolosi.
Il phishing e le truffe online sono destinate ad aumentare nei prossimi anni, per cui è importantissimo seguire i consigli di sicurezza come quelli che abbiamo appena condiviso e usare un buon antivirus come Panda Dome, che ti protegge in tempo reale dalle minacce informatiche.
CONTINUA A LEGGERE: Deepfake su TikTok: come riconoscere i video falsi usati per le truffe
