{"id":30565,"date":"2026-04-02T13:47:55","date_gmt":"2026-04-02T11:47:55","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30565"},"modified":"2026-04-02T22:46:10","modified_gmt":"2026-04-02T20:46:10","slug":"bubble-no-code-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/bubble-no-code-phishing\/30565\/","title":{"rendered":"Bubble: un nuovo strumento per le truffe di phishing"},"content":{"rendered":"

Diversi creatori di app basati sull\u2019intelligenza artificiale promettono di dare vita alle tue idee in modo rapido e semplice. Purtroppo, sappiamo esattamente chi \u00e8 sempre alla ricerca di nuove idee cui dare vita, soprattutto perch\u00e9 siamo piuttosto bravi a individuare e bloccare quelle vecchie. Stiamo parlando di phisher, ovviamente. Di recente abbiamo scoperto che hanno aggiunto un nuovo trucco al loro arsenale: la creazione di siti Web utilizzando il builder di app Web Bubble<\/a> basato sull\u2019IA. \u00c8 altamente probabile che questa tattica sia ora disponibile tramite una o pi\u00f9 piattaforme di phishing-as-a-service, il che garantisce virtualmente che queste esche inizieranno a comparire in un\u2019ampia gamma di attacchi. Ma analizziamolo passo dopo passo.<\/p>\n

Perch\u00e9 i phisher utilizzano Bubble?<\/h2>\n

L\u2019inclusione di un collegamento diretto a un sito di phishing in un\u2019e-mail comporta un errore di sola andata. \u00c8 molto probabile che il messaggio non raggiunga la destinazione, poich\u00e9 i filtri di sicurezza lo bloccheranno prima ancora che l\u2019utente lo veda. Allo stesso modo, l\u2019utilizzo dei reindirizzamenti automatici \u00e8 stato a lungo uno dei principali campanelli di allarme per le moderne soluzioni di protezione. E i codici QR? Sebbene in teoria far scansionare un codice alla vittima con il proprio telefono anzich\u00e9 farle fare clic su un link possa funzionare, i truffatori perdono inevitabilmente traffico a questo punto: non tutti sono disposti a inserire le credenziali aziendali su un dispositivo personale. \u00c8 qui che i servizi di generazione di codice automatizzati vengono in soccorso dei criminali informatici.<\/p>\n

Bubble si posiziona come piattaforma senza codice per lo sviluppo di applicazioni Web e mobili. In sostanza, un utente descrive ci\u00f2 di cui ha bisogno tramite un\u2019interfaccia visiva e la piattaforma genera una soluzione finita. I phisher hanno adottato questa tecnologia per creare app Web di cui incorporano gli indirizzi nelle e-mail di phishing. Sebbene la funzione effettiva di queste app si riduca al solito vecchio reindirizzamento automatico a un sito dannoso, ci sono un paio di sfumature specifiche in gioco.<\/p>\n

In primo luogo, l\u2019applicazione Web risultante \u00e8 ospitata direttamente nei server della piattaforma. L\u2019URL pronto per l\u2019utilizzo in un\u2019e-mail di phishing ha un aspetto simile a questo: https:\/\/%name%.bubble.io\/.<\/em> Dal punto di vista delle soluzioni di protezione, questo sito sembra essere legittimo e di lunga data.<\/p>\n

In secondo luogo, il codice per questa applicazione Web non ha l\u2019aspetto di un reindirizzamento tipico. A essere onesti, \u00e8 difficile dire che aspetto abbia. Il codice generato da questa piattaforma senza codice \u00e8 un enorme miscuglio di JavaScript e strutture isolate Shadow DOM (Document Object Model). Anche per un esperto \u00e8 difficile capire cosa stia succedendo a prima vista; bisogna davvero scavare per capire come funziona e qual \u00e8 lo scopo. \u00c8 ancora pi\u00f9 probabile che gli algoritmi di analisi automatica del codice Web intervengano, raggiungendo spesso il verdetto che si tratta semplicemente di un sito utile e funzionale.<\/p>\n

\"Frammento

Frammento di codice di un\u2019applicazione Web ospitata nella piattaforma Bubble<\/p><\/div>\n

Cosa sono queste piattaforme di phishing e qual \u00e8 l\u2019obiettivo finale?<\/h2>\n

I phisher di oggi raramente sviluppano e implementano nuovi trucchi da zero. La maggior parte utilizza kit di phishing, essenzialmente builder fai-da-te per l\u2019avvio di schemi fraudolenti, o persino piattaforme di phishing-as-a-service su vasta scala.<\/p>\n

Queste piattaforme forniscono agli utenti malintenzionati un kit di strumenti sofisticato (e altamente frustrante) in continua evoluzione per migliorare l\u2019invio della posta elettronica e aggirare le difese anti-phishing. Questi strumenti ad esempio consentono agli utenti malintenzionati, tra le altre cose, di eseguire le seguenti operazioni: intercettare i cookie di sessione; condurre il phishing tramite Google Task<\/a> (una tattica trattata in un post precedente); eseguire attacchi adversary-in-the-middle (AiTM) per convalidare l\u2019autenticazione a due fattori (2FA) e aggirarla in tempo reale; creare siti di phishing dotati di honeypot e geofencing per nascondersi dai crawler di sicurezza; e utilizzare gli assistenti IA per generare e-mail di phishing univoche. A peggiorare le cose, l\u2019infrastruttura per queste piattaforme \u00e8 solitamente ospitata in servizi perfettamente legittimi come AWS, rendendo le relative tattiche ancora pi\u00f9 difficili da individuare.<\/p>\n

Le stesse piattaforme vengono utilizzate per creare la pagina di destinazione finale che raccoglie le credenziali. In questo caso specifico, l\u2019app Web ospitata in Bubble reindirizza le vittime a un sito, completo di un controllo di verifica Cloudflare, che imita una finestra di accesso di Microsoft.<\/p>\n

\"

Modulo di phishing progettato per raccogliere le credenziali aziendali<\/p><\/div>\n

Apparentemente, nell\u2019universo parallelo degli autori degli attacchi, Skype \u00e8 ancora un valido strumento di comunicazione, ma per il resto il sito sembra straordinariamente convincente.<\/p>\n

Come proteggere l\u2019azienda dai sofisticati attacchi di phishing<\/h2>\n

Nell\u2019odierno panorama digitale, i dipendenti devono comprendere chiaramente che le credenziali aziendali devono essere immesse solo nei servizi e nei siti Web che appartengono innegabilmente all\u2019azienda. \u00c8 possibile aumentare la consapevolezza del team sulle moderne minacce informatiche utilizzando Kaspersky Automated Security Awareness Platform<\/a> per la formazione online.<\/p>\n

Naturalmente, anche il dipendente pi\u00f9 cauto potrebbe occasionalmente abboccare. \u00c8 consigliabile dotare tutte le workstation connesse a Internet di Kaspersky Next<\/a> solide soluzioni di sicurezza\u201d] questo bloccher\u00e0 semplicemente qualsiasi tentativo di visitare un sito dannoso. Infine, per ridurre il numero di e-mail pericolose che ingombrano le caselle di posta aziendali, \u00e8 consigliabile distribuire un prodotto per la protezione del gateway con tecnologie anti-phishing avanzate<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

I criminali informatici stanno ora distribuendo le applicazioni Web generate da Bubble, un builder di app basato sull’intelligenza artificiale, per cercare le credenziali aziendali.<\/p>\n","protected":false},"author":2598,"featured_media":30568,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[2207,2620,116],"class_list":{"0":"post-30565","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-e-mail","11":"tag-ia","12":"tag-phishing"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/bubble-no-code-phishing\/30565\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/bubble-no-code-phishing\/29079\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/bubble-no-code-phishing\/31959\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/bubble-no-code-phishing\/41581\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/bubble-no-code-phishing\/14411\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/bubble-no-code-phishing\/55488\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/bubble-no-code-phishing\/23760\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/bubble-no-code-phishing\/24849\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/bubble-no-code-phishing\/33328\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/bubble-no-code-phishing\/30449\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30565","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30565"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30565\/revisions"}],"predecessor-version":[{"id":30569,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30565\/revisions\/30569"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30568"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30565"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30565"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30565"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}