In che modo l’intelligenza artificiale e l’apprendimento automatico stanno cambiando il gioco del phishing
I cattivi attori hanno imparato: più dati sono in grado di raccogliere su di te, più è probabile che riusciranno a phishing con successo. Questo è probabilmente il motivo per cui questo vettore di attacco non è mai stato così popolare.
Il rapporto sullo stato del phishing del 2022 di Proofpoint ha rivelato che l’83% delle organizzazioni ha subito un attacco di phishing basato su e-mail riuscito nel 2021, con un aumento del 46% rispetto al 2020. Il 78% delle aziende ha subito un attacco ransomware propagato da un’e-mail di phishing, mentre l’86% delle aziende ha subito attacchi di phishing di massa e il 77% ha sostenuto attacchi BEC (Business Email Compromise).
Secondo l’ultimo Zscaler ThreatLabz Phishing Report , gli attacchi di phishing globali sono aumentati del 29% negli ultimi 12 mesi raggiungendo un record di 873,9 milioni di attacchi, e si è registrato un numero record di attacchi di phishing (1.025.968) nel primo trimestre del 2022, secondo l’ attività di phishing Rapporto sulle tendenze dell’Anti-Phishing Working Group (APWG). Ma le cose si fanno ancora più complicate.
I truffatori ora prendono e ingeriscono ogni bit di dati violati trovati su Internet e li combinano con l’intelligenza artificiale (AI) per prendere di mira e attaccare gli utenti. Questa pratica preoccupa alcune delle più grandi aziende del mondo come mai prima d’ora poiché il livello di sofisticatezza nei tentativi di phishing cresce. La parte spaventosa? C’è un aumento dei pagamenti di phishing e ransomware di successo e l’IA utilizzata non è ancora così intelligente.
L’evoluzione del phishing
Fondamentalmente, l’ingegneria sociale consiste nel tirare le corde del cuore emotivo di un utente per suscitare una risposta che, in definitiva, lo porti a inoltrare informazioni personali come password, informazioni sulla carta di credito e altro ancora.
Gli attacchi di phishing non sofisticati sotto forma di e-mail, SMS, codici QR, ecc. sono in genere facili da individuare se sai cosa cercare. Errori grammaticali, refusi, collegamenti sospetti, loghi falsi e indirizzi e-mail “da” che non corrispondono alla fonte credibile che fingono di essere sono omaggi morti.
Questi attacchi venivano spesso effettuati in massa, prendendo di mira milioni di persone per vedere chi avrebbe morso. Ma i cattivi attori si sono evoluti, e così anche le loro tattiche.
Gli hacker hanno iniziato a utilizzare l’IA per prendere di mira gli individui in modo più intelligente. I messaggi del tuo “reparto IT” che incorporavano informazioni sul tuo lavoro o un attacco di spear phishing personalizzato e diretto, che includeva la tua password effettiva, ti informavano che il tuo account era stato compromesso sono esempi perfetti.
Ora, ancora una volta, i cattivi attori stanno facendo un ulteriore passo avanti.
La rivoluzione del phishing dell’IA
Gli hacker amano e accumulano dati. Ma i dati che apprezzano di più sono i dati violati, e non solo le informazioni che hanno violato o riscattato personalmente. Gli attori delle minacce amano ogni bit di dati che è mai stato trapelato sul dark web.
Le violazioni dei dati possono dire agli hacker qualsiasi cosa, dal nome da nubile di tua madre alla tua data di nascita, alle tue password precedenti, persino ai tuoi interessi personali. Anche se questo probabilmente non è qualcosa che non hai già sentito, ciò che è cambiato è il modo in cui i truffatori utilizzano queste informazioni.
I malintenzionati stanno ora combinando questi dati con l’IA per prendere di mira gli utenti con attacchi di phishing incredibilmente sofisticati che sono più convincenti che mai. E lo stanno facendo con un’intelligenza artificiale che non è nemmeno così intelligente, ancora.
L’IA non può discostarsi dal suo percorso preprogrammato, quindi non dobbiamo preoccuparci che pensi da solo. Ma man mano che le persone diventano più intelligenti, possono creare modelli più sofisticati e addestrare l’IA per eseguire scenari più complessi. Con l’aumento del livello di sofisticatezza, tutti i segnali indicano un futuro in cui il phishing assomiglia molto agli annunci mirati.
Gli annunci mirati incontrano il phishing mirato
È quasi impossibile evitare gli annunci in questi giorni. Appaiono ovunque in base alla cronologia di navigazione, ricerca e social media. Siamo arrivati al punto in cui scherziamo sul fatto che gli inserzionisti sappiano cosa vuoi prima che tu sappia che lo vuoi.
Quanto tempo prima che gli attaccanti diventino così avanzati? Quanto tempo prima che una società di informazioni di mercato venga violata e gli hacker utilizzino gli stessi dati utilizzati dagli inserzionisti per phishing? Le campagne di phishing mirate quasi in tempo reale non sono un concetto lontano; è all’orizzonte.
Immagina di cercare i biglietti per il Super Bowl e, in pochi minuti, ci sono e-mail di phishing nella tua casella di posta che ti offrono esperienze VIP Super Bowl. Questa è la minaccia reale e immediata che l’IA pone e ci stiamo avvicinando sempre di più a quella realtà.
Il futuro del phishing
L’intelligenza artificiale e l’apprendimento automatico (ML) vengono attualmente utilizzati per aggirare sistematicamente tutti i nostri controlli di sicurezza. Gli attacchi si stanno verificando a un livello e una sofisticazione che nessun essere umano – o gruppo di umani – potrebbe portare a termine senza un po’ di intelligenza (artificiale).
Se pensi che i cattivi attori debbano costruire un brillante bot di hacking AI realizzato da sé per raggiungere questi obiettivi, ti sbagli. Devono semplicemente creare un’IA abbastanza intelligente da interpretare e manipolare specifici set di dati in scenari specifici, che è esattamente ciò che gli hacker criminali e gli attori degli stati-nazione stanno facendo attivamente per prendere di mira e compromettere persone e organizzazioni.
L’IA non è così high-tech come alcuni pensano, ma può ancora essere utilizzata per trarre vantaggio da individui ignari. Combinando l’IA e i dati violati, gli hacker creano campagne di phishing più mirate e sofisticate e ottengono un maggiore successo.
AI e ML hanno riscritto le regole e cambiato il gioco del phishing, e non si torna indietro. Se non affrontiamo questo problema ora, il gioco sarà rapidamente fuori portata.