Le 5 principali minacce alla sicurezza informatica a fattore umano del 2025: Il phishing si evolve ancora

Le minacce alla sicurezza informatica nel 2025 hanno assunto una nuova forma: prendono di mirale persone, non solo i sistemi. Gli attacchi basati sul phishing sono più convincenti, più personalizzati e più difficili da individuare. Questo post esplora le cinque principali minacce alla cybersecurity legate al fattore umano di quest'anno e spiega come la formazione e i test possano aiutarvi a essere all'avanguardia.

1. Attacchi Click-Fix: Un nuovo tipo di minaccia alla sicurezza informatica

Gli attacchi Click-Fix sono in aumento. Questi tentativi di phishing utilizzano falsi pop-up o avvisi di sistema, chiedendo agli utenti di incollare una "correzione" in Terminale o Esegui. Quello che sembra un comando utile in realtà lancia il malware.

Gli aggressori utilizzano queste tattiche nelle e-mail di phishing, nei reindirizzamenti del browser e nelle truffe di assistenza via chat. Alcune campagne sono state anche collegate ad attori di Stati nazionali.

Difendersi da essa:

Simulate il phishing Click-Fix nella formazione dei dipendenti. Abbiamo un nuovo modello di attacco per farlo.
Avvisare il personale di non fare copia-incolla da fonti sconosciute.
Monitoraggio dell'attività della clipboard collegata agli script.

2. Phishing dei fornitori: la minaccia nascosta alla sicurezza informatica nella vostra casella di posta elettronica

I moderni programmi di formazione utilizzano diversi tipi di contenuti per raggiungere efficacemente i dipendenti:

Il phishing dei fornitori è una delle minacce alla sicurezza informatica più pericolose del momento. Gli aggressori dirottano l'account e-mail di un fornitore fidato e inviano messaggi dannosi al personale interno. Poiché l'e-mail è reale e la relazione è fidata, gli utenti sono più propensi a cliccare.

Nel maggio 2025, un attacco di phishing da parte di un fornitore al grande rivenditore britannico M&S ha causato gravi perdite finanziarie e ha messo in luce le debolezze nei controlli dei fornitori.

Suggerimenti per la mitigazione:

Includere il phishing di tipo vendor nelle simulazioni di sensibilizzazione.
Estendere la formazione ai partner e ai team esterni. Possiamo aiutarvi a farlo.
Verificare le richieste attraverso un secondo canale di comunicazione.

3. Phishing con codice QR: scansione e clic per essere hackerati

I codici QR sono ovunque, dalle scrivanie agli inviti alle riunioni. Ma nel 2025 sono in aumento gli attacchi di phishing che utilizzano i codici QR. Spesso questi codici conducono a pagine di login fasulle o a script per l'acquisizione di token.

Poiché l'azione inizia su uno smartphone, i dipendenti sono meno cauti. L'ENISA ha indicato il QR phishing come una delle principali minacce emergenti per la sicurezza informatica in Europa.

Proteggete il vostro popolo:

Utilizzate il QR phishing nei vostri test di sensibilizzazione.
Insegnate al personale a controllare gli URL prima di effettuare il login.
Affiggere una guida visiva negli uffici vicini agli spazi condivisi.

Abbiamo già parlato dei codici QR nel nostro blog e abbiamo i modelli di attacco e di sensibilizzazione per aiutarvi ad affrontare questo problema.

4. Stanchezza da MFA: Quando troppi suggerimenti portano a un clic sbagliato

Gli aggressori di phishing ora sfruttano gli utenti attraverso l'affaticamento dell'MFA. Dopo aver rubato le credenziali, attivano ripetute richieste di accesso, sperando che l'utente ne approvi una per errore.

Questa tattica è particolarmente comune dopo l'orario di lavoro o sui dispositivi mobili. È stata utilizzata in diversi attacchi di alto profilo nel 2024 e continua a crescere.

Cosa fare:

Formare gli utenti sul funzionamento del bombardamento MFA.
Simulate questi attacchi nei vostri test di phishing.
Passare all'MFA resistente al phishing, ove possibile.

5. Hijacking del thread di posta elettronica: Conversazioni fidate diventate rischiose

In un thread hijack, l'aggressore utilizza un vero account compromesso per rispondere a una conversazione e-mail attiva. È molto efficace, perché il messaggio include la cronologia e il tono delle e-mail autentiche.

Questi attacchi di phishing sono spesso rivolti ai team finanziari, legali e delle risorse umane. Superano i filtri e le difese psicologiche.

Passi difensivi:

Includere scenari di dirottamento dei thread nelle simulazioni.
Istruite gli utenti a individuare gli allegati insoliti, anche nelle discussioni affidabili.
Incoraggiare una rapida segnalazione interna delle risposte sospette.

Minacce alla sicurezza informatica e conformità: Perché la formazione è ora una priorità legale

La direttiva europea NIS2 lo dice chiaramente: la consapevolezza della cybersecurity non è più facoltativa. Se la vostra organizzazione opera in settori critici o importanti, la NIS2 lo richiede:

Formazione regolare dei dipendenti
Attacchi simulati per testare la risposta
Flussi di lavoro di reporting e di risposta

Le multe per mancata conformità possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale.

Le organizzazioni in Germania, Austria e altri Paesi dell'UE devono ora dimostrare di prendere sul serio il rischio umano. L'implementazione di una formazione e di test di phishing realistici, come quelli offerti da piattaforme come Lucy, è una parte fondamentale per soddisfare questi obblighi.

Riflessioni finali: Le minacce alla sicurezza informatica continueranno ad evolversi: formatevi, testate e state al passo con i tempi.

Le maggiori minacce alla sicurezza informatica del 2025 non sono exploit zero-day: sono tecniche di phishing intelligenti e incentrate sull'uomo. E stanno funzionando.

Ecco perché il vostro piano di difesa dovrebbe includere:

Simulazioni di phishing realistiche basate sulle minacce attuali
Formazione di sensibilizzazione basata sui ruoli, personalizzata per reparto
Test continui, soprattutto per il rischio di terze parti

Strumenti come Lucy Security consentono di eseguire test di phishing mirati, personalizzare i contenuti e monitorare i miglioramenti nel tempo.

Non si tratta più solo di catturare il phish. Si tratta di dimostrare che si può.

Contattateci se volete discutere ulteriormente di queste sfide e delle vostre esigenze.

Il nostro canale YouTube offre anche molti video utili su questi argomenti, tra cui come clonare gli attacchi.

Blog

Lucy 5.7 Product Released

Continua a leggere "

March 11, 2026 No Comments

Articolo

Human Risk Management in Cybersecurity Explained

Continua a leggere "

March 9, 2026 No Comments

Articolo

GDPR vs CLOUD Act: Data Sovereignty in Security Awareness

Continua a leggere "

March 4, 2026 No Comments

Le 5 principali minacce alla sicurezza informatica a fattore umano del 2025: Il phishing si evolve ancora

1. Attacchi Click-Fix: Un nuovo tipo di minaccia alla sicurezza informatica

2. Phishing dei fornitori: la minaccia nascosta alla sicurezza informatica nella vostra casella di posta elettronica

3. Phishing con codice QR: scansione e clic per essere hackerati

4. Stanchezza da MFA: Quando troppi suggerimenti portano a un clic sbagliato

5. Hijacking del thread di posta elettronica: Conversazioni fidate diventate rischiose

Minacce alla sicurezza informatica e conformità: Perché la formazione è ora una priorità legale

Riflessioni finali: Le minacce alla sicurezza informatica continueranno ad evolversi: formatevi, testate e state al passo con i tempi.

Lucy 5.7 Product Released

Human Risk Management in Cybersecurity Explained

GDPR vs CLOUD Act: Data Sovereignty in Security Awareness

protezione dei dati

INFORMAZIONI

RICERCA

Collegare