Gli attacchi di phishing continuano a cambiare forma e a sfruttare strumenti nati per usi del tutto legittimi. L’ultimo esempio arriva da Bubble, piattaforma no-code che consente di creare applicazioni web e mobile tramite interfaccia visuale, senza scrivere codice. Secondo un’analisi pubblicata da Kaspersky il 24 marzo 2026, alcuni attori malevoli la stanno sfruttando per costruire pagine intermedie ospitate su domini affidabili come *.bubble.io, così da aumentare la credibilità delle campagne e ridurre le probabilità di blocco da parte dei controlli tradizionali.
Il punto critico, in questo caso, non riguarda solo il contenuto della truffa, ma il contesto che la ospita. I sistemi di difesa individuano con relativa facilità link palesemente sospetti, redirect anomali o domini già segnalati. Quando però l’infrastruttura passa da una piattaforma conosciuta e legittima, il confine tra traffico lecito e traffico malevolo si fa più sottile. Kaspersky spiega che queste web app possono funzionare come passaggi nascosti che accompagnano la vittima verso una falsa pagina di accesso, senza mostrare segnali immediatamente evidenti.
Nella campagna osservata dai ricercatori, l’utente finiva dopo più reindirizzamenti su una schermata di login Microsoft molto simile a quella autentica. A rendere il quadro ancora più insidioso c’era un ulteriore passaggio protetto da Cloudflare, elemento che contribuiva a mascherare l’intento fraudolento e a rendere più complessa l’analisi automatica del flusso. Secondo Kaspersky, l’obiettivo finale restava il più classico: il furto di credenziali aziendali.
Il caso si inserisce dentro una tendenza più ampia. Negli ultimi mesi Kaspersky ha documentato più volte l’uso improprio di servizi noti e infrastrutture affidabili per attività di phishing, come nel caso delle notifiche di Google Tasks impiegate per colpire account aziendali. Il messaggio è chiaro: i gruppi criminali cercano sempre più spesso strumenti che ispirano fiducia agli utenti e che, proprio per questo, possono superare con maggiore facilità filtri automatici e controlli preliminari.
Secondo Roman Dedenok, Anti-Spam Expert di Kaspersky, l’uso di piattaforme legittime come Bubble apre una nuova fase nell’abuso della fiducia digitale, perché rende più difficile distinguere ciò che appare sicuro da ciò che in realtà serve a sottrarre dati di accesso. La conseguenza, osserva il ricercatore, può tradursi in accessi non autorizzati, furto di credenziali e possibili violazioni dei dati.
Il rischio, inoltre, non si limita alla singola campagna. Kaspersky ritiene plausibile che tecniche di questo tipo confluiscano dentro piattaforme di phishing-as-a-service e kit pronti all’uso, che oggi includono funzioni sempre più sofisticate: intercettazione dei cookie di sessione, gestione delle campagne tramite servizi legittimi, attacchi adversary-in-the-middle capaci di aggirare anche l’autenticazione a più fattori, oltre a strumenti basati sull’IA per la generazione delle e-mail e a meccanismi anti-rilevamento. È la conferma di un phishing meno artigianale e molto più industrializzato.
Sul fronte della difesa, il consiglio resta quello di non considerare affidabile una pagina solo perché ospitata su un dominio noto o perché graficamente molto simile a un portale ufficiale. In ambito aziendale conta soprattutto la verifica del contesto: le credenziali vanno inserite solo su piattaforme ufficiali e controllate, mentre i team di sicurezza devono rafforzare i filtri anti-phishing a livello di posta elettronica e aggiornare con continuità la threat intelligence.
