Nel 2025, gli attacchi di phishing rappresentano una sfida significativa per le organizzazioni, con un aumento delle tecniche basate sull'identità rispetto agli exploit software. Gli attacchi di phishing sono ora la causa principale delle violazioni di dati, come indicato nel rapporto Verizon DBIR. Gli attaccanti, sfruttando tecniche basate sull'identità, possono ottenere gli stessi obiettivi di un attacco tradizionale, semplicemente accedendo a un account vittima. Con l'uso crescente di applicazioni internet da parte delle organizzazioni, il numero di account che possono essere oggetto di phishing o attacchi con credenziali rubate è aumentato esponenzialmente.

Gli strumenti di phishing in grado di bypassare l'autenticazione a più fattori (MFA) stanno diventando la norma, mettendo sotto pressione i controlli di rilevamento mentre quelli di prevenzione non riescono a tenere il passo. La maggior parte del rilevamento del phishing e dell'applicazione dei controlli si concentra sull'email e sul livello di rete, di solito tramite il Secure Email Gateway (SEG), il Secure Web Gateway (SWG) o entrambi. Tuttavia, i criminali informatici stanno adottando misure per evitare questi controlli, ad esempio ruotando dinamicamente e aggiornando gli elementi comunemente usati come IP, domini e URL per evadere le blocklist basate su Indicatori di Compromissione (IoC).

Un approccio innovativo

Un approccio innovativo per combattere il phishing potrebbe essere quello di spostare il rilevamento e la risposta direttamente nel browser. Questo metodo offre la possibilità di osservare e intercettare le attività malevole in tempo reale. Molti attacchi di phishing coinvolgono l'invio di un link malevolo a un utente che, una volta cliccato, lo porta su una pagina di login fasulla. Questi attacchi avvengono quasi esclusivamente nel browser della vittima, suggerendo che il browser stesso potrebbe diventare un punto di rilevamento critico.

Rilevare il phishing nel browser offre diversi vantaggi. Innanzitutto, consente di analizzare le pagine anziché solo i link, superando i limiti dei controlli statici tradizionali. Inoltre, il rilevamento delle Tattiche, Tecniche e Procedure (TTP) anziché degli IoC migliora l'efficacia dei controlli, rendendo la vita più difficile agli attaccanti. Infine, il browser permette un intervento in tempo reale, bloccando l'interazione dell'utente con la pagina di phishing prima che si verifichi un compromesso.

In sintesi, spostare il rilevamento e la risposta al phishing nel browser può offrire una difesa più efficace contro le minacce in evoluzione. Questo approccio consente di bloccare gli attacchi in tempo reale, migliorando significativamente la sicurezza delle organizzazioni.