Zscaler, la piattaforma di cybersecurity per l’era dell’AI, ha annunciato oggi il rilascio del report Zscaler ThreatLabz 2026 Phishing and Initial Access Report. Basata su dati di telemetria su larga scala provenienti dalla più grande cloud di sicurezza inline al mondo — che include attività di phishing, sessioni cifrate e interazioni con sistemi di deception — la ricerca evidenzia un cambiamento strutturale nell’economia della criminalità informatica: mentre il volume complessivo di phishing è diminuito per il secondo anno consecutivo (–20% su base annua), l’efficacia e la sofisticazione degli attacchi sono aumentate in modo significativo.
I criminali informatici stanno facendo sempre più ricorso a strumenti basati sull’AI di tipo “text-to-site” e a kit per il dirottamento delle sessioni in tempo reale per aggirare l’autenticazione multi-fattore (MFA). In modo rilevante, stanno inoltre mascherando in maniera sempre più sofisticata queste campagne: il 95,2% dei tentativi di phishing si nasconde oggi all’interno di traffico cifrato per eludere i sistemi di sicurezza tradizionali. Inoltre, la nuova telemetria basata su tecniche di deception — che ha rilevato quasi 90 milioni di attività malevole — mostra che i criminali informatici stanno effettuando attività aggressive di scansione e ricognizione su identità e piattaforme di collaboration aziendale, molto prima che avvenga la compromissione iniziale.
“Stiamo osservando una ricalibrazione strategica nel modo in cui i criminali informatici affrontano le fasi di accesso iniziale”, ha dichiarato Deepen Desai, Chief Security Officer di Zscaler. “La diminuzione del volume complessivo di phishing non è un segnale di arretramento, ma di evoluzione. Gli attaccanti stanno spostando il focus dalla quantità alla qualità, sfruttando l’AI generativa per eliminare i tradizionali segnali rivelatori, come errori grammaticali e messaggi generici. Con il 95% dei tentativi di phishing oggi nascosto nel traffico cifrato, le aziende non possono più ignorare l’ispezione del traffico Transport Layer Security (TLS). Un’architettura Zero Trust rappresenta l’unico approccio in grado di interrompere la catena d’attacco, dalla fase di ricognizione fino all’esfiltrazione dei dati.”
Come i criminali informatici utilizzano l’AI generativa per compromissioni iniziali ad alta precisione
Il report evidenzia come l’intelligenza artificiale sia diventata il principale motore delle moderne campagne di intrusione. ThreatLabz ha identificato 413.524 siti generati tramite AI, di cui quasi il 10% classificato come esplicitamente malevolo. Strumenti come Manus AI, Blackbox AI e Lovable AI vengono oggi sfruttati per creare in pochi minuti portali di phishing altamente curati e coerenti con i brand, attività che in passato richiedevano giorni di sviluppo manuale.
Queste esche generate dall’AI si rivelano particolarmente efficaci nel replicare flussi di lavoro affidabili. Il settore dei servizi è stato quello più colpito da questo cambiamento, registrando un aumento del 65,5% su base annua degli attacchi, poiché i criminali informatici hanno sfruttato interazioni basate su operazioni di routine, come processi di fatturazione, onboarding e rinnovo dei servizi di supporto.
Ulteriori evidenze emerse dal report:
- Scenario globale: gli Stati Uniti restano uno dei principali obiettivi degli attacchi di phishing via email; il Brasile ha registrato un aumento del 2.522% nell’hosting di contenuti di phishing, diventando uno dei primi cinque Paesi al mondo per origine degli attacchi.
- Distribuzione per settore: il manifatturiero e la pubblica amministrazione continuano a essere i principali bersagli del phishing via email, con quest’ultima che registra un aumento del 50% degli attacchi, poiché i criminali informatici puntano a informazioni di alto valore.
- Tendenze nel furto di credenziali: Microsoft e Google risultano i brand più imitati nelle campagne di phishing, a conferma del focus continuo sulla compromissione dei sistemi di identità aziendale.
- Evasione dei sistemi di rilevamento: la crittografia è ormai lo standard per i cybercriminali, con l’87% delle attività malevole veicolate tramite HTTPS.
- Attività di scansione ostile: gli attaccanti sfruttano infrastrutture cloud legittime per attività di ricognizione, utilizzando oltre 121.000 indirizzi IP ospitati su cloud pubblici per sondare gli ambienti aziendali.
La tecnologia di deception rivela le intenzioni degli attaccanti
La telemetria di Zscaler basata su sistemi di deception distribuiti a livello globale ha rilevato quasi 90 milioni di interazioni malevole, provenienti da 1,37 milioni di indirizzi IP unici riconducibili ad attaccanti. Questi dati confermano che i criminali informatici stanno conducendo attività di ricognizione sempre più aggressive sulle piattaforme di collaborazione e di gestione delle identità, alla ricerca di punti deboli e per testare le ipotesi sui meccanismi di difesa attivi.
Mitigare il percorso verso la compromissione
Per contrastare queste minacce in continua evoluzione, la piattaforma Zscaler Zero Trust Exchange garantisce un’architettura di sicurezza per l’AI basata sul modello Zero Trust che offre:
1. Riduzione della superficie di attacco e rilevamento precoce delle attività di ricognizione: riduce l’esposizione nascondendo le applicazioni dietro un proxy erogato dal cloud, sfruttando al contempo la tecnologia di deception per intercettare tempestivamente le attività di ricognizione, come scansioni, tentativi di probing e verifiche delle credenziali.
2. Prevenzione della compromissione iniziale: blocca attacchi di phishing basati sull’AI e attacchi basati sulla compromissione delle sessioni attraverso un’ispezione inline guidata dall’AI, inclusa l’ispezione completa del traffico TLS/SSL, per individuare le minacce che si nascondono nel traffico cifrato.
3. Blocca il movimento laterale: connette direttamente gli utenti alle applicazioni e applica controlli di accesso basati su Zero Trust per impedire agli attaccanti di estendere la compromissione da un singolo punto di ingresso all’intero ambiente aziendale.
4. Previene la perdita di dati: riduce l’impatto di una violazione grazie a funzionalità di protezione dei dati basate sull’AI, in grado di identificare i dati sensibili in transito e impedire condivisioni non autorizzate o tentativi di esfiltrazione.
