Attacchi di phishing ancora più pericolosi con l’IA

Gli attacchi di phishing si verificano quando i criminali informatici inducono le loro vittime a condividere informazioni personali, come password o numeri di carte di credito, fingendo di essere qualcun altro. L’intelligenza artificiale (IA) aiuta i criminali informatici a sferrare attacchi di phishing perché facilita loro il compito di scrivere messaggi di phishing credibili, imitare la voce di qualcun altro, fare ricerche sulle potenziali vittime e creare deepfake. Utilizzando l’IA in questi attacchi, i criminali informatici appaiono più credibili e affidabili, e dunque riescono a convincere un maggior numero di vittime a inviare loro informazioni private o denaro. Secondo uno studio del 2024 commissionato da Keeper^®, i responsabili IT stanno assistendo a un incremento del 51% degli attacchi basati sull’IA.

Continua a leggere per scoprire come i criminali informatici utilizzano l’IA negli attacchi di phishing, esempi di uso dell’IA e come puoi proteggerti da questi attacchi.

Uso dell’IA da parte dei criminali informatici per sferrare attacchi di phishing

L’IA aiuta i criminali informatici a sferrare attacchi di phishing ancora più pericolosi nei confronti sia di privati che di aziende.

L’IA per scrivere

Utilizzando strumenti di IA generativa, come ChatGPT, i criminali informatici possono creare messaggi di phishing privi dei tipici segnali rivelatori: errori grammaticali e di ortografia. Per dimostrare quanto faciliti il compito ai criminali informatici, ho chiesto a ChatGPT di redigere un’email di phishing. Il contenuto che ho inserito è stato immediatamente rimosso e ChatGPT ha risposto: “Questo contenuto potrebbe violare le nostre norme di utilizzo”. Nonostante la violazione, ChatGPT ha comunque prodotto un esempio di e-mail di phishing. Ecco i risultati di ChatGPT:

Come si può notare, a differenza delle tipiche e-mail di phishing, questo messaggio non contiene errori grammaticali, né di ortografia. I criminali informatici che utilizzano gli strumenti di IA generativa come ChatGPT non hanno bisogno di pensare a come formulare le richieste di informazioni. ChatGPT, infatti, ha creato un messaggio dal tono urgente, ha previsto un punto per l’inserimento di un link di phishing e ha persino aggiunto la minaccia di sospendere l’account della vittima se non avesse fatto quanto richiesto.

L’IA per eseguire ricerche

L’IA generativa può inoltre aiutare i criminali informatici a effettuare ricerche sulle potenziali vittime. All’inizio di quest’anno, l’FBI ha avvertito privati e aziende sulla possibilità di ricevere messaggi più personalizzati e su misura, creati dai criminali informatici utilizzando l’IA. Effettuare ricerche sulle potenziali vittime richiede tempo, ma l’IA velocizza questa operazione ai criminali informatici elaborando e sintetizzando le informazioni sui soggetti presi di mira. Ciò consente ai criminali informatici di saperne di più sulle loro potenziali vittime e relativi interessi, senza dover dedicare troppo tempo a lunghe e faticose ricerche.

L’IA per impersonare qualcun altro

In alcuni casi, i criminali informatici possono usare l’IA per imitare il modo in cui una data persona scrive in genere i messaggi e-mail e gli SMS e possono persino utilizzare l’IA per riprodurre la voce di qualcun altro. L’IA può anche generare contenuti visivi, come foto o video, per impersonare qualcuno di cui la potenziale vittima si fida. Dopo aver visto un’immagine del profilo familiare o un video pubblicato, la potenziale vittima potrebbe convincersi che sta inviando informazioni personali o denaro a qualcuno che conosce. Tuttavia, i criminali informatici utilizzano l’IA per creare deepfake… ne parlo qui di seguito.

Esempi di attacchi di phishing basati sull’IA

Poiché gli attacchi di phishing basati sull’IA diventano sempre più diffusi, ecco i principali tipi di attacchi a cui prestare attenzione. Ecco qualche esempio di attacco di phishing basato sull’IA.

E-mail ed SMS di phishing generati dall’IA

Prima che i criminali informatici potessero utilizzare l’IA negli attacchi di phishing, era facile individuare i messaggi e-mail o gli SMS di phishing perché solitamente contenevano una serie di errori di ortografia e grammaticali. Per esempio, la maggior parte delle e-mail di phishing presentava errori di battitura evidenti o frasi dalla sintassi incerta, come se fossero stati scritti da un non madrelingua. Invece, i messaggi e-mail e gli SMS di phishing generati dall’IA si notano meno, dato che l’IA elimina questi errori evidenti.

Mettiamo, per esempio, che un criminale informatico invii a un dipendente di una grande azienda un’e-mail di phishing generata dall’IA. È possibile che il dipendente sia stato formato a riconoscere le e-mail di phishing quando contengono errori ortografici e grammaticali evidenti. Tuttavia, se l’e-mail di phishing è abbastanza convincente e il criminale informatico si spaccia per il capo del dipendente, c’è il rischio che il messaggio sembri autentico e dunque che il dipendente possa condividere informazioni riservate via email.

Attacchi di vishing basati sull’IA

Il vishing è un tipo di attacco di phishing condotto per telefono, la cui pericolosità è aumentata con l’uso degli strumenti di IA. Nei tipici attacchi di vishing, il criminale informatico si spaccia per un’azienda o un individuo di cui la potenziale vittima si fida per aumentare le possibilità di ricevere denaro o informazioni. Tuttavia, negli attacchi di vishing basati sull’IA, i criminali informatici possono impersonare qualcuno che la potenziale vittima conosce analizzandone le voci presenti su registrazioni video o audio. Dopo aver fatto elaborare queste voci dall’IA, il criminale informatico può camuffare la propria voce con quella di un parente, di un amico o del capo della potenziale vittima. Utilizzata in questo modo, l’IA contribuisce a rendere più convincente l’attacco di vishing se la potenziale vittima riconosce la voce del suo interlocutore.

Questo è ciò a cui si è assistito di recente nelle cosiddette truffe ai nonni tecnologicamente avanzate, in cui i criminali informatici scaricano dai social media video o registrazioni audio dei familiari della potenziale vittima. I criminali informatici utilizzano l’IA per imitare la voce di una persona cara alla loro vittima, inducendo l’anziano a credere che il loro familiare sia in pericolo, e richiedendo generalmente l’invio di denaro.

Attacchi di spear phishing basati sull’IA

Gli attacchi di spear phishing si verificano quando un criminale informatico prende di mira un dato individuo o una data organizzazione e utilizza informazioni raccolte in precedenza, come il nome, l’indirizzo e-mail o il numero di telefono. Sebbene possa sembrare simile a un normale attacco di phishing, lo spear phishing è un attacco informatico più personalizzato e mirato, per cui è ancora più difficile per la potenziale vittima rendersi conto che il messaggio fa parte di un attacco di phishing. I criminali informatici utilizzano l’IA a scopo di ricerca per raccogliere informazioni sulle potenziali vittime, quindi usano strumenti di IA generativa come ChatGPT per scrivere e-mail ed SMS in base alle informazioni raccolte.

Supponiamo, ad esempio, che un criminale informatico abbia preso di mira uno studente universitario che svolge un tirocinio presso una grande società finanziaria. Per risparmiare tempo, il criminale informatico utilizza l’IA per analizzare i social media e altri dati pubblici della potenziale vittima. Dopo che l’IA ha raccolto una quantità sufficiente di informazioni sulla persona presa di mira e sul suo ruolo all’interno dell’organizzazione, il criminale informatico può inserire queste informazioni in uno strumento di IA generativa e scrivere un’email personalizzata spacciandosi per un collega o il capo della potenziale vittima e convincerla a condividere informazioni riservate.

Deepfake generati dall’IA

Sebbene esistano da tempo, i deepfake stanno diventando sempre più difficili da rilevare grazie ai progressi della tecnologia IA. I deepfake sono tipologie di supporti multimediali, come foto, registrazioni audio e video, che alterano l’aspetto di una persona in modo che sembri qualcun altro. Per esempio, i deepfake visti di recente sui social media che mostrano persone famose impegnate in attività sconvenienti con altre celebrità o con persone qualunque, mentre queste interazioni in realtà non sono mai avvenute. Vengono spesso utilizzati con intenzioni malevole, per esempio per ricattare qualcuno o per diffondere informazioni false. I deepfake generati dall’IA stanno diventando così realistici che persino le forze dell’ordine hanno difficoltà a capire se si tratta di un’immagine o di un video contraffatto. Dato il realismo che questi deepfake hanno raggiunto, i criminali informatici utilizzano l’IA per condurre vari attacchi di phishing in quanto molte persone credono a ciò che vedono.

Come proteggersi dagli attacchi di phishing basati sull’IA

Nonostante gli attacchi di phishing basati sull’IA siano sempre più frequenti e dannosi, non mancano i modi per proteggersi da questi attacchi informatici avanzati.

Non fare mai clic su collegamenti e allegati indesiderati

Per proteggere le tue informazioni private e i tuoi dispositivi, non fare mai clic sui link e non scaricare mai gli allegati contenuti in messaggi indesiderati. Se ricevi un’e-mail o un SMS indesiderato con cui ti viene richiesto con urgenza di fare clic su un link per confermare le informazioni del tuo account, probabilmente si tratta di una truffa. Anche solo facendo clic su un link con noncuranza, rischi di installare sul tuo dispositivo un malware che potrebbe impadronirsi dei tuoi dati personali. Per controllare se un link è sicuro, passa il mouse sull’URL oppure copiala e incollala in modo sicuro in uno strumento di verifica delle URL come il Rapporto sulla trasparenza di Google.

Lo stesso vale per i messaggi indesiderati con allegati: non scaricarli sul tuo dispositivo. Per esempio, se un’e-mail indesiderata contiene un PDF o un foglio di calcolo che ti viene richiesto di aprire con urgenza, evita di fare clic su di esso perché probabilmente contiene malware. Se fai clic su un allegato indesiderato o lo scarichi, potresti innescare un’infezione da malware che mette le tue informazioni private a rischio di essere inviate al criminale informatico e compromesse. Controlla se un allegato è sicuro utilizzando un software antivirus, verifica attentamente la legittimità del mittente e ignora i messaggi contrassegnati come spam dal tuo provider di posta elettronica.

Non rispondere a richieste indesiderate di invio di informazioni personali

Ignora le richieste indesiderate di invio di informazioni personali ricevute tramite e-mail, SMS o telefono. Se ricevi una telefonata da un numero sconosciuto di qualcuno che afferma di essere un tuo conoscente o di chiamare per conto di un’azienda nota, prima di rispondere prova a pensare per quale motivo ti stia chiamando di punto in bianco per richiedere informazioni di carattere personale. Ecco alcuni tipi di informazioni personali comunemente richiesti che sarebbe meglio non condividere in caso di richieste indesiderate:

Sii prudente nel caso di offerte che sembrano troppo belle per essere vere

Quando i criminali informatici utilizzano l’IA per effettuare ricerche, per loro diventa più facile conoscere gli interessi della persona che hanno preso di mira. Non credere alle offerte che sembrano troppo belle per essere vere, specialmente se riguardano qualcosa che hai sempre desiderato. Per esempio, se ricevi un’email o un SMS che ti informa che hai vinto una fornitura a vita del tuo prodotto cosmetico preferito, sii prudente, poiché probabilmente si tratta di uno stratagemma per convincerti a fare clic su un link (o altro) pericoloso o a condividere le tue informazioni personali.

Stabilisci una parola di sicurezza insieme ai tuoi familiari

È consigliabile stabilire una parola di sicurezza o un codice famigliare per verificare l’identità di una persona sospetta. Per esempio, se qualcuno chiama te o un membro della tua famiglia affermando di essere un conoscente, chiedigli la parola di sicurezza. Se l’interlocutore dice la parola sbagliata, saprai che si tratta di un attacco di phishing. Assicurati che la parola di sicurezza non sia facilmente intuibile dal criminale informatico o dall’IA svolgendo ricerche online su di te o sulla tua famiglia. Stabilire una parola di sicurezza univoca ti aiuterà a proteggere te e la tua famiglia dagli attacchi di phishing basati sull’IA.

Utilizza un password manager

Uno dei modi migliori per proteggersi dagli attacchi di phishing basati sull’IA è utilizzare un gestore di password come Keeper. Oltre a memorizzare le password in una posizione sicura, un gestore di password protegge le tue informazioni dagli attacchi di phishing se dispone di una funzione di riempimento automatico. La funzione KeeperFill di Keeper Password Manager inserisce le tue credenziali di accesso solo se il sito web memorizzato nella tua cassaforte digitale corrisponde a quello che stai visitando.

Resta sempre al passo con le ultime notizie in fatto di sicurezza informatica

Poiché l’IA continua a evolversi e gli attacchi informatici cambiano nel tempo, è importante restare informati sulle ultime notizie e sugli eventi riguardanti la sicurezza informatica. Molti blog e articoli pubblicati quotidianamente riguardano le ultime violazioni di dati, le tendenze in fatto di truffe e le minacce informatiche emergenti. Per restare sempre al passo con le ultime novità basta seguire diversi blog e siti web di sicurezza informatica, tra cui Dark Reading, SecurityWeek e il blog di Keeper Security.

Evita di cadere vittima di attacchi di phishing basati sull’IA

Qualsiasi tipo di attacco di phishing può portare al furto di informazioni private o di denaro da parte di un criminale informatico, ma gli attacchi di phishing basati sull’IA si stanno evolvendo rapidamente e stanno diventando ancora più pericolosi. Per proteggere te e la tua privacy, evita link o allegati indesiderati, non condividere informazioni personali in caso di richieste indesiderate, stabilisci una parola di sicurezza e utilizza un gestore di password.

Inizia la tua prova gratuita di 30 giorni di Keeper Password Manager oggi stesso e inizia a proteggere le tue password e i tuoi account online dai criminali informatici.