i truffatori del “phishing” potrebbero addestrare gli algoritmi per attaccare le nostre mail
Secondo gli esperti, le aziende che forniscono tecnologie di Machine Learning devono agire come prima linea di difesa contro il “phishing”
Il phishing è una truffa effettuata inviando un’e-mail attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari (numero di carta di credito, password di accesso al servizio di home banking) o codici di accesso, millantando esigenze tecniche.
Un esempio? Ci arriva un’email che sembra inviata dalla banca per indurci a fornire informazioni sul nostro conto bancario. Tutti sanno che non si deve assolutamente cliccare su questi messaggi, che anzi vanno cancellati subito. Eppure, questa truffa continua a mietere vittime.
Phishing: un pericolo da cui guardarsi
Secondo l’Anti-Phishing Working Group ogni mese spuntano circa 200 mila nuovi siti di phishing e le campagne di phishing impersonano più di 500 marchi ed entità diverse al mese.
L’Internet Crime Complaint Center dell’FBI ha scoperto poi che le vittime di phishing con sede negli Stati Uniti hanno perdono cifre pari a circa 58 milioni di dollari ogni anno per colpa di truffe di questi tipo. Insomma, il phishing, purtroppo, funziona. Ancora di più funziona lo spear phishing, attacchi rivolti ad una persona o ad un’azienda specifica, quindi altamente mirati e personalizzati.
La cosa preoccupante, è che il phishing potrebbe funzionare ancora meglio se questi messaggi fraudolenti venissero composti da algoritmi di Intelligenza Artificiale.
Lo studio sul ruolo della AI nel phishing
Alle recenti conferenze sulla cyber security Black Hat e Defcon a Las Vegas, un team della Government Technology Agency del Governo di Singapore ha presentato un esperimento in cui ha inviato 200 email mirate di phishing – alcune create dai componenti dell’agenzia, altre generate da una piattaforma AI-as-a-service. Ebbene, i ricercatori sono rimasti sorpresi nello scoprire che un numero maggiore di persone ha cliccato sui collegamenti nei messaggi generati dall’Intelligenza Artificiale rispetto a quelli scritti dall’uomo; lo scarto tra i due gruppi è stato piuttosto significativo.
Come si addestra un algoritmo per il phishing
Perché il phishing con AI funziona meglio? Il Machine Learning focalizzato sull’analisi della personalità mira a prevedere le inclinazioni e la mentalità di una persona sulla base di input comportamentali.
Eseguendo gli output attraverso più servizi, i ricercatori sono stati in grado di sviluppare una pipeline che ha curato e perfezionato le e-mail prima di inviarle. I risultati, da quel che dicono i ricercatori, risultano “stranamente umani”.
Corriamo davvero un rischio ulteriore?
“I ricercatori hanno evidenziato che l’Intelligenza Artificiale richiede un certo livello di competenza. Ci vogliono milioni di dollari per addestrare un modello davvero valido – ha spiegato Eugene Lim, specialista in sicurezza informatica della Government Technology Agency – ma una volta che sai sfruttare AI-as-a-service, costa un paio di centesimi ed è davvero facile da usare. “Basta inserire il testo e inviarlo. Non devi nemmeno eseguire il codice.
In questo modo, è evidente che il phishing riesce potenzialmente a raggiungere un pubblico molto più vasto e che possono aumentano di misura i potenziali bersagli per lo spear phishing, che colpisce aziende in modo mirato. Sostanzialmente, con questa tecnologia, ogni mailing – anche fraudolenta – può essere personalizzata per ciascun singolo destinatario, aumentando di molto il rischio che qualcuno sia tratto in inganno”.
Solo un esperimento. Per ora.
D’altro canto, gli stessi ricercatori hanno fatto notare che si trattava soltanto di un esperimento.
La dimensione del campione era piccola e il target era abbastanza omogeneo in termini di occupazione e regione geografica di appartenenza. Tuttavia, i risultati hanno spinto i ricercatori a riflettere più a fondo su come l’AI-as-a-service potrebbe svolgere un ruolo nelle campagne di phishing e spear phishing in futuro, e aumentarne i rischi.
Conoscere per difendersi dagli attacchi
Come difendersi da questi attacchi? Come prepararsi a capire quando si è a rischio? La soluzione è quella di creare meccanismi in grado di contrassegnare i media artificiali nelle e-mail per facilitare l’identificazione di possibili messaggi di phishing generati dall’Intelligenza Artificiale.
Sfortunatamente, un’operazione non semplice: i media artificiali, infatti, sono utilizzati per funzioni sempre più legittime, come le comunicazioni e il marketing del servizio clienti; per questo è difficile sviluppare strumenti di screening che segnalino solo i messaggi di phishing.
Quindi? Le armi, nonostante l’impressionante imitazione umana delle e-mail di phishing generate dall’Intelligenza Artificiale, restano le stesse: formazione, consapevolezza, istinto e un po’ di sano scetticismo.
E tu, sapreste distinguere l’email di un amico da quella di una Intelligenza Artificiale?
fonti: wired.com / securityboulevard.com
foto di copertina: defcon.org
Maker Faire Rome – The European Edition, promossa dalla Camera di Commercio di Roma e organizzata dalla sua Azienda speciale Innova Camera, si impegna da ben otto edizioni a rendere l’innovazione accessibile e fruibile con l’obiettivo di non lasciare indietro nessuno offrendo contenuti e informazioni in un blog sempre aggiornato e ricco di opportunità per curiosi, maker, startup e aziende che vogliono arricchire le proprie conoscenze ed espandere il proprio business, in Italia e all’estero.
Seguici, iscriviti alla nostra newsletter:ti forniremo solo le informazioni giuste per approfondire i temi di tuo interesse