Check Point rileva le tendenze del brand phishing nel secondo trimestre 2025

Check Point rileva le tendenze del brand phishing nel secondo trimestre 2025

Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies Ltd, pioniere e leader globale nelle soluzioni di sicurezza informatica, ha pubblicato l’ultima classifica relativa al Brand Phishing per il secondo trimestre del 2025.

Il rapporto rivela la forza del phishing, che continua a essere uno strumento potente nell’arsenale dei criminali informatici, e mostra le tendenze chiave, gli obiettivi del settore e le campagne più allarmanti.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Nel secondo trimestre del 2025, gli aggressori hanno raddoppiato gli sforzi per impersonare i marchi più affidabili al mondo, quelli su cui milioni di persone fanno affidamento ogni giorno. Dai giganti della tecnologia ai servizi di streaming e alle piattaforme di viaggio, nessun marchio digitale è immune alla contraffazione.

I 10 marchi più bersagliati nel secondo trimestre 2025

  1. Microsoft – 25%
  2. Google – 11%
  3. Apple – 9%
  4. Spotify – 6%
  5. Adobe – 4%
  6. LinkedIn – 3%
  7. Amazon – 2%
  8. Booking – 2%
  9. WhatsApp – 2%
  10. Facebook – 2%

Truffa di phishing su Spotify: un ritorno dopo sei anni

In una delle campagne più significative del trimestre, i criminali informatici hanno impersonato Spotify per attirare gli utenti in una trappola finalizzata alla raccolta delle credenziali. Il sito di phishing era ospitato su: premiumspotify[.]abdullatifmoustafa0[.]workers.dev, che reindirizzava gli utenti a activegate[.]online/id1357/DUVzTTavlOw/CgJiMcgc0fMOJY29SAg5JRoH?.

La pagina malevola replicava l’esperienza di accesso ufficiale di Spotify con marchio e design autentici. Alle vittime veniva chiesto di inserire il proprio nome utente e password, che venivano poi convogliati verso una pagina di pagamento falsa che tentava di rubare anche i dati della carta di credito.

Questa campagna segna la prima ricomparsa di Spotify nelle classifiche di phishing dal quarto trimestre del 2019 e sottolinea come i servizi di intrattenimento siano ora sfruttati in modo altrettanto aggressivo quanto le piattaforme tecnologiche.

Leggi anche:  Cresce l’influenza dei CISO nella C-suite e nei consigli di amministrazione di tutto il mondo

Truffa Booking.com: aumento delle conferme false

Un’altra tendenza che ha caratterizzato il secondo trimestre è stata la sofisticata imitazione di Booking.com.

I ricercatori di Check Point hanno rilevato oltre 700 domini registrati di recente che utilizzavano il formato confirmation-id****.com, un numero 100 volte superiore rispetto ai trimestri precedenti.

Questi domini ospitavano sottopagine come:

Ciò che rendeva queste truffe particolarmente pericolose era l’inclusione di dettagli personalizzati (nome, e-mail, numero di telefono) per far sembrare le pagine di conferma della prenotazione autentiche e urgenti. Tutti i siti hanno avuto vita breve e sono stati rimossi.

Il settore tecnologico continua a essere l’obiettivo principale

Il settore tecnologico rimane l’obiettivo principale delle campagne di phishing. Con piattaforme come Microsoft 365, Gmail e iCloud al centro della vita digitale degli utenti, gli aggressori vedono questi marchi come porte d’accesso a tutto, dalle credenziali aziendali ai dati personali.

Anche i social network (LinkedIn, WhatsApp, Facebook) e le piattaforme di vendita al dettaglio/viaggi (Amazon, Booking.com) sono regolarmente oggetto di spoofing, soprattutto quando gli aggressori mirano a sfruttare la fiducia degli utenti nei servizi quotidiani.

Come proteggersi dal phishing nel 2025

Con le tattiche di phishing che diventano sempre più mirate e ingannevoli, è essenziale stare un passo avanti rispetto agli aggressori. Ecco come gli utenti e le organizzazioni possono ridurre il rischio:

  • Abilitare l’autenticazione a più fattori (MFA) su tutti gli account.
  • Controllare attentamente gli URL e i mittenti delle e-mail prima di cliccare o inviare informazioni.
  • Formare i dipendenti con corsi di sensibilizzazione sul phishing.
  • Implementare protezioni avanzate come Check Point Harmony Email, che utilizza l’intelligenza artificiale per bloccare le e-mail di phishing prima che raggiungano la posta in arrivo.
Leggi anche:  Akamai, cybersecurity nel settore finanziario: tra AI e resilienza operativa