Allarme Cisco Talos: phishing e MFA nel mirino

Gli hacker oggi non “sfondano” più i sistemi: entrano con credenziali valide e sfruttano fiducia, errori MFA e falle nei processi, per muoversi indisturbati e colpire asset critici secondo i trend più recenti di Cisco Talos.

Il nuovo obiettivo: le credenziali

Nel secondo trimestre 2025 il 75% degli attacchi di phishing è partito da account di posta compromessi interni o di partner fidati, segno che gli attori minacciosi puntano a rubare username e password per “loggarsi” come utenti legittimi. Oltre il 40% degli incidenti ha coinvolto problemi di MFA tra configurazioni errate e tentativi di bypass, rendendo l’identità la superficie d’attacco più redditizia per l’accesso iniziale e il movimento laterale.

Un fenomeno in crescita

Nel bilancio 2024 di Cisco Talos, gli attacchi basati sull’identità hanno pesato per il 60% dei casi di Incident Response, con account validi e strumenti nativi che hanno sostituito zero‑day ed exploit come via “a basso rischio”. Nei ransomware, gli aggressori hanno frequentemente sfruttato credenziali legittime per penetrare, persistere e distribuire il payload, confermando la password come anello debole della catena.

Il mercato nero delle password

Le credenziali trafugate finiscono su mercati sotterranei dove gli account privilegiati sono particolarmente ricercati e alimentano campagne di ransomware, spionaggio e frodi mirate; gli Initial Access Broker rivendono accessi per operazioni successive su larga scala. La filiera criminale si specializza: chi raccoglie e monetizza credenziali, chi le acquista per intrusione e ricatto, massimizzando ritorni con rischi operativi ridotti.

Perché è così semplice

Gli aggressori che usano credenziali autentiche si confondono nel rumore dell’attività lecita, riducendo rilevazioni e necessità di malware rumoroso. L’aumento di cloud, lavoro ibrido e dispositivi personali moltiplica i punti d’accesso, mentre errori di configurazione MFA e controlli identità incompleti aprono varchi prevedibili.

Le tecniche più comuni

Il phishing resta la via maestra, spesso con pagine di login fasulle capaci di catturare credenziali e token MFA, amplificato dall’uso di caselle compromesse che superano filtri e sfruttano la fiducia. A queste si affiancano strategie come brute force su password deboli o riutilizzate e l’abuso di account dimenticati, che offrono ingressi silenziosi nel perimetro.

Il fattore umano

Gli attori ostili sfruttano ingegneria sociale e pressioni psicologiche per indurre clic su link malevoli, condividere password o approvare richieste MFA, trasformando l’utente nel vettore più efficace. La combinazione di messaggi convincenti provenienti da caselle “fidate” e pagine SSO contraffatte alimenta furti di credenziali su scala.

Consigli pratici di difesa

L’attivazione e il monitoraggio dell’MFA sono essenziali, privilegiando metodi resistenti al phishing rispetto agli SMS, con policy per bloccare tentativi ripetuti e anomalie di approvazione. L’adozione di zero trust, il patching costante, la rimozione di account inutilizzati e l’uso di gestori di password riducono drasticamente la superficie di attacco legata alle identità. La formazione continua aiuta a riconoscere email sospette, QR ingannevoli e pagine di login fasulle, limitando l’efficacia delle campagne di phishing.

Il nodo MFA e il caso Duo

Ogni mese piattaforme come Cisco Duo gestiscono volumi enormi di richieste MFA, eppure una quota significativa di organizzazioni adotta metodi deboli come SMS, esponendosi a phishing, SIM swap e “MFA fatigue”. Incidenti documentati presso provider terzi di SMS per Duo hanno mostrato come i log di messaggi possano essere usati per spear‑phishing, senza che il contenuto dei codici sia compromesso, a riprova dei limiti strutturali dell’SMS come secondo fattore.

Conclusione operativa

Le imprese che trattano l’identità come nuovo perimetro, con MFA robusta, verifica continua e igiene delle credenziali, riducono sensibilmente la probabilità di intrusione silente e l’impatto dei ransomware moderni. L’ottimizzazione della postura passa da controlli antifrode sulle sessioni, deprovisioning rigoroso e visibilità sugli accessi, perché gli attaccanti oggi non scassinano: provano a entrare dalla porta principale.