Nuova campagna di phishing adattivo: come funziona
Topic
Approfondimenti
Trending
tutti

Nuova campagna di phishing adattivo: come funziona

Gli esperti del CERT-AgID hanno rilevato nuovi attacchi di phishing adattivo che permettono di ingannare le vittime e rubare le credenziali di login.
Nuova campagna di phishing adattivo: come funziona
Sicurezza
Gli esperti del CERT-AgID hanno rilevato nuovi attacchi di phishing adattivo che permettono di ingannare le vittime e rubare le credenziali di login.
Google AI Studio

Gli esperti del Computer Emergency Response Team dell’Agenzia per l’Italia Digitale (CERT-AgID) ha individuato una nuova campagna di phishing adattivo, un tipo di attacco sempre più frequente. Sfruttando due note tecniche e le API di Telegram, i cybercriminali cercano di ingannare l’utente e rubare le credenziali di login per siti e servizi.

Come funziona il phishing adattivo

Per phishing adattivo si intende una forma di phishing che permette di modificare dinamicamente l’interfaccia della pagina di login in base al dominio email del bersaglio (quasi sempre un’azienda). Le pagine non vengono quindi predisposte in origine, ma sono generate “al volo” quando l’utente clicca sul link presente nell’email o apre un allegato.

La nuova campagna prevede l’invio di un’email relativa ad un pagamento. Il destinatario crede che sia legittima perché viene ingannato tramite lo spoofing del dominio mittente. Il messaggio sembra provenire da un indirizzo interno all’azienda. In realtà, l’analisi degli header SMTP evidenziano che l’invio è avvenuto tramite infrastrutture esterne non autorizzate.

I cybercriminali hanno sfruttato server compromessi per aumentare la probabilità di consegna e superare i controlli superficiali. La modifica dell’origine del messaggio è stata possibile perché manca l’implementazione corretta delle protezioni SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance).

Nel caso esaminato dagli esperti del CERT-AgID è presente un file HTML in allegato. Quando aperto viene eseguito il codice JavaScript integrato e mostrata una pagina di login con nome e logo dell’azienda target. Il campo email è precompilato. L’utente deve inserire solo la password e risolvere un CAPTCHA (fasullo).

Dopo aver inserito i dati vengono mostrati vari errori di accesso finché non appare la pagina legittima. Nel frattempo, indirizzo email e password sono stati inviati ai cybercriminali tramite API di Telegram Bot. Vengono in pratica sfruttati i server del popolare servizio di messaggistica.

Fonte: CERT-AgID

Pubblicato il 15 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

3 motivi per cui è il momento giusto per attivare l'offerta di NordVPN

3 motivi per cui è il momento giusto per attivare l'offerta di NordVPN
VPN illimitata, 5 motivi per cui questa è la scelta migliore di oggi

VPN illimitata, 5 motivi per cui questa è la scelta migliore di oggi
Disney: pagamento milionario per violazione della privacy

Disney: pagamento milionario per violazione della privacy
Furto di password con false estensioni AI per Chrome

Furto di password con false estensioni AI per Chrome
3 motivi per cui è il momento giusto per attivare l'offerta di NordVPN

3 motivi per cui è il momento giusto per attivare l'offerta di NordVPN
VPN illimitata, 5 motivi per cui questa è la scelta migliore di oggi

VPN illimitata, 5 motivi per cui questa è la scelta migliore di oggi
Disney: pagamento milionario per violazione della privacy

Disney: pagamento milionario per violazione della privacy
Furto di password con false estensioni AI per Chrome

Furto di password con false estensioni AI per Chrome
Luca Colantuoni
Pubblicato il
15 feb 2026
Link copiato negli appunti