Check Point Research (CPR), la divisione Threat Intelligence di Check Point® Software Technologies Ltd, ha pubblicato il suo rapporto sul phishing dei marchi per il quarto trimestre del 2025.

Microsoft si è classificata ancora una volta come il marchio più imitato, rappresentando il 22% di tutti i tentativi di phishing. Questo dato conferma una tendenza che si protrae da diversi trimestri. Gli aggressori abusano sempre più spesso di marchi aziendali e di consumo affidabili, per raccogliere credenziali e ottenere un accesso iniziale.

Google segue al secondo posto con il 13%. Amazon è salita al terzo posto con il 9%, a causa soprattutto del Black Friday e dalle vendite natalizie, superando Apple. Dopo una prolungata assenza, Facebook (Meta) è rientrato nella top 10, posizionandosi al quinto posto, evidenziando un rinnovato interesse da parte degli aggressori per l’acquisizione di account sui social media.

Il settore tecnologico rimane il più imitato. Il suo predominio riflette l’attenzione degli hacker per le credenziali che consentono di sbloccare l’accesso alle aziende, ai servizi cloud e alle piattaforme di identità.

La tecnologia è seguita dai social network, in parte trainati dall’aumento del phishing su Facebook.

I 10 marchi più imitati nel phishing – quarto trimestre 2025

1. Microsoft – 22%
2. Google – 13%
3. Amazon – 9%
4. Apple – 8%
5. Facebook (Meta) – 3%
6. PayPal – 2%
7. Adobe – 2%
8. Booking – 2%
9. DHL – 1%
10. LinkedIn – 1%

Il continuo predominio di Microsoft e Google evidenzia quanto siano preziose le credenziali.

Esempi reali di phishing osservati nel quarto trimestre del 2025

Roblox: phishing mirato a bambini e giocatori

Nel quarto trimestre del 2025, Check Point Research ha identificato una campagna di phishing a tema Roblox osservata tramite l’attività di navigazione degli utenti. Il sito dannoso era ospitato su un dominio simile, robiox[.]com[.]af, che differiva dal legittimo roblox.com per una sottile sostituzione di lettere.

La pagina di destinazione presentava un gioco Roblox fasullo intitolato “SKIBIDI Steal a Brainrot”. Questo era completo di immagini realistiche, valutazioni e un pulsante “Gioca” ben visibile. Il contenuto imitava da vicino uno dei giochi più popolari attualmente disponibili sulla piattaforma Roblox, progettato per attirare i bambini, target della piattaforma.

Quando gli utenti tentavano di accedere al gioco, venivano reindirizzati a una pagina di phishing di secondo livello che replicava l’interfaccia di accesso ufficiale di Roblox. Le credenziali inserite nella pagina venivano raccolte in modo silenzioso. L ‘utente rimaneva sulla stessa schermata senza alcuna indicazione visibile della compromissione.

Netflix: il recupero dell’account come esca

Check Point Research ha inoltre individuato un sito di phishing che si spaccia per Netflix, ospitato su netflix-account-recovery[.]com (attualmente inattivo). Il dominio è stato registrato nel 2025, a differenza del legittimo netflix.com, che risale al 1997.

La pagina di phishing rispecchiava fedelmente l’interfaccia ufficiale di Netflix per l’accesso e il recupero dell’account, richiedendo agli utenti di inserire il proprio indirizzo e-mail o numero di cellulare e la password. L’obiettivo era di raccogliere le credenziali per appropriarsi degli account, consentendo potenzialmente la rivendita o ulteriori frodi.

Facebook (Meta): furto di credenziali localizzato

In un’altra campagna osservata durante il quarto trimestre del 2025, CPR ha rilevato una pagina di phishing a tema Facebook distribuita tramite e-mail e ospitata su facebook-cm[.]github[.]io.

La pagina imitava il portale di accesso di Facebook. Era interamente in spagnolo, utilizzando un marchio, un layout e richieste di autenticazione familiari. Gli utenti inserivano il proprio indirizzo e-mail, numero di telefono e password. Questi venivano successivamente raccolti dagli aggressori per consentire l’accesso non autorizzato all’account e potenziali abusi a valle.

Il brand phishing rimane efficace perché sfrutta la fiducia degli utenti in piattaforme familiari. Gli attaccanti si affidano sempre più spesso a immagini raffinate, sottili manipolazioni dei domini e flussi in più fasi che imitano da vicino le esperienze legittime degli utenti.

Poiché l’identità diventa la principale superficie di attacco, il phishing rimane un vettore di accesso iniziale critico sia per le frodi ai consumatori che per le violazioni aziendali.