È indubbio che il machine learning, i Large Language Models (LLMs) e l’intelligenza artificiale generativa (gen AI) stiano rivoluzionando i settori più disparati della nostra realtà. Queste nuove tecnologie permettono un balzo in avanti sinora inedito in termini di produttività, creando con poche semplici indicazioni nuovi testi e opere grafiche: un’operazione che in passato avrebbe richiesto un considerevole dispiego di energie. L’intelligenza artificiale nel prossimo futuro prenderà completamente il sopravvento, soprattutto per le mansioni più basilari.
Purtroppo, però, questi programmi estremamente innovativi possono anche essere impiegati per scopi fraudolenti. In un articolo precedente avevamo già trattato i rischi provocati da attacchi di phishing e illustrato le buone pratiche utili a contrastarli. Nel frattempo, con l’avvento di modelli linguistici quali ChatGPT, il quadro è cambiato: ora è possibile produrre con estrema semplicità testi impeccabili e dunque apparentemente affidabili.
Alcune analisi di specialisti della sicurezza, come ad es. quella di SlashNext, azienda specializzata in phishing, dimostrano che il numero di e-mail di phishing è aumentato ben del 1265% Sdal lancio di ChatGPT. Per tale motivo cogliamo l’occasione per rinfrescarci la memoria sulle migliori pratiche da adottare contro il phishing e spieghiamo cosa è cambiato con l’arrivo dell’IA generativa.
I 5 metodi di phishing più comuni
Tra i metodi più conosciuti figura senza dubbio l’invio di e-mail (professionali). L’autore della frode finge di appartenere a una società legittima come Facebook oppure di essere un quadro di alto rango di un’azienda.
La creatività dei cybercriminali tuttavia si spinge ben oltre l’invio di e-mail a destinatari casuali, come dimostra la lista seguente di altri metodi di phishing frequentemente utilizzati.
| Metodo | Descrizione |
|---|---|
| Phishing tramite e-mail | Invio in massa di e-mail che affermano di provenire da presunte società legittime o da quadri aziendali. |
| Spear-Phishing | Attacchi personalizzati che sfruttano informazioni specifiche sul loro target. |
| Whaling (CEO Fraud) | Attacco rivolto nello specifico contro dirigenti quali CEO, CFO e COO utilizzando le informazioni pubblicamente disponibili sul loro conto. |
| Smishing (phishing via SMS) | Messaggi SMS fraudolenti per estorcere talvolta informazioni sensibili. |
| Vishing (Voice Phishing) | Chiamate di persone che affermano di appartenere a istituzioni affidabili o di essere quadri aziendali, per richiedere dati personali oppure fornire istruzioni. |
I criminali cercano di ottenere dati d’accesso e password non soltanto tramite l’invio di massa di e-mail, bensì anche in modo mirato tramite SMS e per telefono.
Dato che il phishing non è un fenomeno nuovo, fortunatamente esistono già alcune pratiche consolidate per contrastarlo, che probabilmente saranno note a molti utenti di internet. Ma tali pratiche possono ritenersi valide ancora oggi, nonostante l’arrivo dell’intelligenza artificiale generativa?
Intelligenza artificiale e phishing: cosa è cambiato?
Le e-mail di phishing in circolazione possono assumere diverse forme. Mentre le tecnologie all’avanguardia quali l’intelligenza artificiale vengono sfruttate sempre più spesso per la produzione di e-mail di phishing, continuano ad essere utilizzate anche e-mail di phishing “classiche”, che spesso presentano tipici elementi sospetti come errori grammaticali o refusi. Alla luce del vertiginoso aumento di e-mail di phishing inviate, si riesce tuttavia già a prevedere quale impatto avranno i modelli linguistici sulla frequenza degli invii.
Per il tradizionale phishing tramite e-mail è possibile redigere testi convincenti automaticamente e in tempi molto più rapidi rispetto a quanto non possa fare una persona in carne ed ossa. Al contempo, senza gli errori grammaticali a tradirne l’identità fraudolenta, migliorano la qualità e di conseguenza la credibilità delle e-mail di phishing. Alcuni campanelli d’allarme quali refusi, passaggio ad altre lingue e formule insolite in futuro non potranno più essere considerati una prova schiacciante di e-mail sospetta.
Ancor più insidiosi sono i tentativi di frode tramite Spear-Phishing o Whaling, dove attraverso l’l’intelligenza artificiale e il machine learning viene addirittura simulato lo stile di scrittura di una persona specifica, imitandone le formule tipiche. L’intelligenza artificiale riesce ad apprendere le peculiarità linguistiche di una persona tramite i testi pubblicamente disponibili, per poi riprodurle. In caso abbia successo, viene simulato lo stile di scrittura di un superiore oppure di un parente, per poi prendere contatto con un dirigente, un dipendente o una persona di fiducia.
L’imitazione della personalità è possibile non soltanto in formato testuale, bensì anche come registrazione audio oppure sotto forma di ripresa video, qualora vi sia sufficiente materiale di apprendimento. Si tratta di un metodo conosciuto come Deepfake, grazie al quale la voce e il viso di una persona vengono copiati e riprodotti su un’altra persona in modo estremamente convincente tramite l’intelligenza artificiale.
Poco tempo fa si è verificato il caso di un attacco riuscito ai danni di un’azienda di Hong Kong. Un collaboratore ha ricevuto un’e-mail in cui gli veniva richiesto di eseguire numerosi pagamenti.
Lo scetticismo iniziale del collaboratore è stato dissipato da una riunione in videoconferenza con i suoi superiori, imitati tramite Deepfake. In caso di un attacco come questo, di elevata complessità, è molto difficile per una vittima accorgersi della frode in corso e sventarla. Fortunatamente questo esempio illustra un’eccezione piuttosto rara, orientata verso obiettivi ben precisi e che richiede un enorme dispendio di energie da parte dei criminali.
Das anfängliche Misstrauen des Mitarbeiters wurde in einem nachfolgenden Video-Meeting von mittels Deepfake imitierten Vorgesetzten zerstreut. Für ein Opfer ist es bei einem derart hochkomplexen Angriff sehr schwierig, den Betrug zu durchschauen. Glücklicherweise handelt es sich bei diesem Szenario um eine der seltenen Ausnahmen, die eher auf einzelne Ziele gerichtet sind und eine weitaus höhere kriminelle Energie erfordern.
Buone pratiche attuali contro gli attacchi di phishing
Cosa si può fare, dunque, se qualsiasi comunicazione digitale è potenzialmente manipolabile in modo verosimile?
Le principali buone pratiche per contrastare il phishing classico continuano ad essere attuali e sono efficaci nell’evitare i danni. Sulla nostra pagina informativa sul phishing sono riportati esempi e consigli utili relativi alle e-mail di phishing più frequenti, provenienti da criminali che fingono di parlare a nome di Hostpoint AG.
Per prevenire gli attacchi i seguenti accorgimenti sono oggi più utili che mai, soprattutto in un contesto aziendale:
-
Regole di base
Non fare clic sui link di una e-mail sospetta, non scaricare gli allegati e non rispondere mai a queste e-mail. Le aziende serie non richiederanno mai alcuna password per e-mail. Qualora ciò avvenga, è altamente probabile che si tratti di un tentativo di frode. -
Attenzione e sangue freddo
Mai farsi mettere sotto pressione, che si tratti di una scadenza ravvicinata o di un presunto superiore. Non va mai ignorato il proprio sesto senso quando ci dice che c’è qualcosa di sospetto o qualora emergano aspetti poco chiari. Con una breve conversazione orale, si può chiedere al mittente se quanto riportato nella mail corrisponde effettivamente alla realtà. In questo modo sarà possibile fugare ogni dubbio. -
Resilienza dei processi
È importante stabilire già oggi dei processi aziendali o di reparto a cui tutte le persone coinvolte sappiano di poter fare riferimento. Vanno poi attivate le procedure di autenticazione multifattore e concesse ai responsabili soltanto le deleghe di accesso di cui hanno effettivamente bisogno. Una violazione palese dei processi predefiniti può costituire un primo segnale che è in corso un potenziale tentativo di frode. -
Comunicazioni
È consigliabile assicurarsi che non soltanto il personale e i colleghi, bensì anche parenti e amici siano informati in merito ai rischi. Raccomandiamo di concordare una password per i casi di emergenza, che sia nota soltanto a pochi eletti. Qualora dovesse verificarsi un tentativo di frode in cui si esercita pressione facendo leva soprattutto sulle emozioni (problemi finanziari, incidenti), i truffatori avranno così poche chance di successo, anche impiegando una voce artificialmente verosimile.
Ha individuato un’e-mail di phishing?
Se ha ricevuto un’e-mail sospetta correlata a Hostpoint, legga con attenzione la pagina informativa sul phishing che abbiamo predisposto per casi simili e ci segnali la presunta frode all’indirizzo phishing-avvisare@hostpoint.ch.
Sono vittima di phishing: cosa posso fare?
Una volta scattata la trappola del phishing è necessario reagire immediatamente, sia in contesto professionale che privato.
-
Se si tratta di dati relativi a un conto in banca o a una carta di credito, contatti immediatamente la banca e faccia bloccare la carta quanto prima. Non cancelli l’e-mail o l’SMS fraudolenti: se il caso è grave, possono fungere da mezzo di prova. Dato che si tratta di un reato penale, dovrà inoltre sporgere denuncia.
-
Modifichi le password interessate servendosi di un altro dispositivo.
-
Se ancora non l’ha fatto, ora è il momento di attivare l’autenticazione a due fattori o multifattore ovunque sia possibile.
-
Per sicurezza, certamente non nuoce eseguire sul dispositivo una scansione con un programma antivirus per rimuovere i software dannosi che possono essersi introdotti tramite l’attacco. In questo modo si evita che vengano letti e copiati ulteriori dati, quali ad esempio le nuove password. Nel dubbio è consigliabile rivolgersi a un esperto per ottenere una consulenza specializzata.
In azienda, spesso i collaboratori interessati non osano segnalare i casi di frode immediatamente o tempestivamente perché temono conseguenze (a livello personale) oppure per vergogna. Ciò però costa tempo prezioso, perché in questo modo non è possibile adottare in modo celere le misure necessarie.
Quanto prima vengono informati i responsabili IT, meglio è. Il personale informatico è formato per poter valutare la situazione e reagire di conseguenza, consentendo di proteggere tutti gli altri reparti ed evitare danni più gravi.
Affinché all’interno delle aziende vengano instaurate le necessarie condizioni, risulta di fondamentale importanza promuovere un approccio positivo rispetto agli errori, motivando il personale a segnalare tali casi senza reticenze.
“Una comunicazione trasparente, all’insegna della fiducia, è una delle colonne portanti su cui si costruisce la sicurezza informatica. Nei casi di frode, le possibilità e il successo delle misure di contrasto dipendono in modo decisivo dalla rapidità e dalla franchezza con cui vengono informati e coinvolti gli esperti del reparto IT.”
Una nozione molto importante da tenere presente è che qualsiasi persona, anche la più formata, può cadere nella trappola di un attacco di phishing. Considerando i metodi fraudolenti impiegati, sempre più sofisticati e complessi sul piano tecnico, non è una vergogna ritrovarsi vittime di una truffa.
L’intelligenza artificiale può esserci amica e assistente
Le tecnologie pionieristiche in campi quali il machine learning possono certo essere impiegate abusivamente per scopi fraudolenti, come il phishing, ma ciò non le rende intrinsecamente malvagie. Al contrario: queste stesse tecnologie offrono anche valide possibilità di contrasto alla criminalità cibernetica. L’intelligenza artificiale viene utilizzata già da anni in particolare per riconoscere precocemente e sventare attacchi dannosi e, grazie a precisione ed efficienza sempre maggiori, svolgerà in futuro un ruolo ancor più prominente.
Anche da Hostpoint il personale partecipa regolarmente a formazioni e attività di sensibilizzazione relative ai rischi di sicurezza. Inoltre, investiamo costantemente in nuove misure di sicurezza per la nostra infrastruttura.
Ulteriori fonti utili sui pericoli del phishing sono reperibili presso l’Ufficio federale della cibersicurezza (UFCS), la Prevenzione Svizzera della Criminalità nonché presso la Internet Security Alliance (iBarry). Tali autorità forniscono regolarmente informazioni in merito ai pericoli su Internet e aiutano a riconoscere le più recenti tecniche fraudolente, indicando le contromisure più adeguate.
