Il phishing diventa sempre più intelligente grazie all’IA: e-mail personalizzate, credibili e difficili da riconoscere. Scopri come proteggerti da queste nuove minacce con strumenti, formazione e buone pratiche.
Intelligenza artificiale e phishing. Un connubio potenzialmente dirompente. Era inevitabile aspettarsi che il cybercrime approfittasse delle potenzialità dell’IA per aumentare le capacità delle già sofisticate tecniche di attacco informatico mediante l’invio di e-mail.. Potremmo chiamare il fenomeno “Phishing 2.0”.
Intelligenza artificiale e phishing 2.0
L’intelligenza artificiale al servizio del phishing rappresenta una nuova era di attacchi informatici. Attacchi più sofisticati e capaci di ingannare anche gli utenti più attenti, grazie all’avvento dell’intelligenza artificiale (IA).
A differenza del phishing tradizionale, che si basa su e-mail contraffatte per ottenere dati sensibili, il phishing 2.0 sfrutta l’IA generativa per rendere gli attacchi radicalmente più evoluti.
L’uso di IA permette di aumentare l’efficacia delle e-mail fraudolente in diversi modi:
- Generazione di contenuti personalizzati, grammaticalmente ineccepibili e soprattutto convincenti
- Simulazione di identità realmente esistenti mediante la tecnica del deepfake (audio o video). L’IA può clonare la voce di un CEO e indurre i collaboratori a eseguire azioni economicamente rilevanti.
- Creazione e invio di messaggi di massa in modo automatico e personalizzati
- Adattamento dei contenuti in real time allo scopo di eludere i vari filtri di sicurezza applicati
L’IA potenzia gli attacchi di phishing permettendo agli aggressori di analizzare grandi quantità di dati pubblici e comportamentali. Vengono raccolti da social media, siti aziendali e record pubblici allo scopo di creare e-mail su misura che sono credibili e coerenti con il contesto del destinatario.
Dal phishing generico allo spear phishing potenziato dall’IA
Se parliamo di phishing, normalmente ci riferiamo all’invio di e-mail contraffatte che emulano comunicazioni ufficiali.
Lo scopo è quello di ingannare l’utente al fine di ottenere dati sensibili. Un classico esempio è quello di carpire credenziali di accesso o numeri di carte di pagamento. Queste comunicazioni vengono inviate un vasto numero di utenti senza un target preciso e sono tutte uguali. Un tempo, queste e-mail potevano essere identificate da errori di ortografia o grammatica, ora non più.
Lo spear phishing invece prende di mira determinati utenti che sono stati precedentemente individuati mediante l’uso di social engineering. I target sono solitamente dirigenti di azienda, CEO e responsabili finanziari. Persone che hanno il potere di prendere decisioni soprattutto in ambito economico.
Lo spear phishing potenziato con l’IA è in grado di creare contenuti molto convincenti. L’IA viene usata per analizzare dati di pubblico dominio e comportamentali presi ad esempio dai social media. Lo scopo è creare e-mail su misura, credibili e coerenti con il contesto aziendale del destinatario.
La comunicazione può includere riferimenti a progetti reali in corso, l’uso del nome e dello stile comunicativo di un superiore, o l’inserimento di link a domini camuffati che visivamente assomigliano a quelli aziendali.
La sofisticazione delle campagne di phishing guidate dall’IA è già notevole, permettendo ai sistemi di raccogliere automaticamente informazioni sui bersagli (strutture organizzative, modelli di comunicazione, stili ufficiali, dettagli personali).
L’impatto dell’intelligenza artificiale e il phishing
I ricercatori della Harvard Kennedy School e dell’Avant Research Group hanno sviluppato e testato uno strumento automatizzato basato sull’IA per condurre campagne di spear phishing.
Mediante modelli di Open AI e Anthropic hanno cercato sul web informazioni specifiche allo scopo di creare messaggi di phishing altamente personalizzati.
Il risultato è eloquente: le campagne di spear phishing mirate con il supporto dell’AI hanno ottenuto un clic rate del 54%. Per fare un raffronto, quelle inviate al gruppo che ha ricevuto e-mail di phishing hanno registrato un CTR solo del 12%.
L’esperimento ha preso di mira anche un gruppo che ha ricevuto e-mail di spear phishing create da esperti umani. Esse sono risultate altrettanto efficaci con un CTR del 54%, uguale a quelle automatizzate con l’IA.
Questo significa che l’IA non dà alcun vantaggio? In realtà è tutto il contrario poiché le e-mail create da umani hanno comportato un costo 30 volte superiore.
Se guardiamo in casa nostra, il 40% degli incidenti informatici in Italia è stato condotto con tecniche basate sull’intelligenza artificiale.
Il Threat Intelligence Report dell’Osservatorio Cybersecurity di Exprivia rivela che nel primo trimestre del 2025 si sono verificati 862 episodi di minacce informatiche, con un aumento del 54% rispetto allo stesso periodo del 2024.
Come affrontare il phishing creato con l’IA?
Per affrontare la crescente sofisticazione delle minacce di phishing potenziate dall’intelligenza artificiale è fondamentale adottare una strategia di difesa multilivello.
Soluzioni tecnologiche avanzate, un importante coinvolgimento umano e una cultura della consapevolezza sono il mix ideale per affrontare questo tipo di minacce. Vediamo alcune soluzioni possibili:
- Sistemi di e-mail filtering avanzati: Utilizzare soluzioni che intercettano i messaggi sospetti prima che raggiungano gli utenti finali
- Servizi di sicurezza e-mail in tempo reale: Adottare soluzioni che analizzano contenuto, intestazioni, allegati e link della posta elettronica in tempo reale per identificare minacce
- Autenticazione delle e-mail: Implementare protocolli come SPF, DKIM e DMARC per autenticare le e-mail in entrata e in uscita, riducendo le possibilità di spoofing
- Autenticazione multi-fattore (MFA): Abilitare l’MFA aggiunge un livello di sicurezza extra, rendendo più difficile per gli attaccanti infiltrarsi nei sistemi anche se riescono a ottenere le credenziali iniziali. Sebbene l’MFA non fermi il phishing, previene l’accesso non autorizzato
- Valutazioni regolari delle vulnerabilità: Testare periodicamente i sistemi per identificare e correggere le vulnerabilità prima che gli attaccanti possano sfruttarle
- Investimento in threat intelligence: Utilizzare servizi che forniscono dati in tempo reale sulle potenziali minacce mirate al proprio settore
- Formazione continuativa ed evolutiva: La formazione deve adattarsi ed evolvere con le minacce emergenti. Non si tratta solo di individuare le minacce, ma di costruire una cultura della vigilanza
- Programmi di formazione: Devono riflettere gli attuali schemi di minaccia
- Simulazioni di attacchi di phishing: Esercizi di simulazione, che incorporano tecnologie avanzate di generazione linguistica e formazione sugli attacchi deepfake, sono essenziali per preparare i dipendenti a scenari reali
È necessario mettere in atto strategie proattive al fine di prevenire e affrontare il fenomeno.
Le aziende devono implementare soluzioni di sicurezza all’avanguardia che possano anticipare e prevenire gli attacchi prima che raggiungano i dipendenti. L’IA dovrebbe essere utilizzata per adattare automaticamente le misure di sicurezza alle minacce emergenti.
È fondamentale prepararsi ora, poiché le minacce di domani in realtà sono già presenti.
© 2025- Riproduzione riservata
