Phishing e Intelligenza Artificiale: la nuova minaccia per le PMI italiane

Le minacce informatiche sono, da sempre, allineate alle nuove tecnologie. Una prova concreta è la capacità del phishing di sfruttare le potenzialità dell’intelligenza artificiale per rendere ancora più efficaci gli attacchi ai danni delle piccole e medie imprese. Che sono sempre più colpite da queste minacce.

Le nuove frontiere del cybercrimine sono infinite e comprendono sia gli invii di messaggi testuali che gli attacchi deepfake attraverso il voice phishing (vishing) o smishing. Vale a dire il phishing via SMS.

Con il phishing AI tutto diventa più difficile da gestire a causa di email indistinguibili da quelle reali, messaggi vocali che imitano la voce di un responsabile in grado di sbloccare risorse economiche, chatbot che fingono di essere l’assistenza clienti di una banca. Per fortuna possiamo analizzare il fenomeno del phishing AI-driven, capire come funziona e perché le piccole e medie imprese sono più esposte ai furti del phishing AI.

Cos’è il phishing basato su AI?

Iniziamo con una definizione di base: il phishing è un tipo di minaccia basata sul social engineering che sfrutta messaggi di posta elettronica per emulare messaggi inviati da istituzioni e uffici che possono esercitare un’influenza sul destinatario. Tutto questo per ottenere credenziali e scaricare malware.

L’evoluzione ha portato a sfruttare telefonate ed SMS ma con l’intelligenza artificiale assistiamo a un cambio di passo. Con l’AI phishing ogni passaggio è più difficile da smascherare prima che faccia danni. Qualche esempio preso dagli archivi di cybersecurity contro l’AI phishing per PMI?

• Prima ti accorgevi della truffa grazie ai refusi. Oggi, l’AI genera testi senza errori grammaticali. Distinguerli da quelli di un messaggio ufficiale è veramente difficile.
• I messaggi si personalizzano con dati ottenuti online. Questo permette di aumentare l’efficacia delle minacce e rende sempre più difficile il lavoro della cybersecurity. 
• Deepfake audio e video creano attacchi impossibili da snidare. E senza un’attenta analisi dei dettagli si creano solide basi per generare un CEO fraud con AI.

Cosa significa questo? La risposta è semplice e ovvia: per le PMI italiane, già bersaglio privilegiato degli hacker per la mancanza di risorse e team IT dedicati, la situazione in termini di cybersecurity diventa critica.

Da leggere: cos’è e come difendersi dallo sneaky phishing

Esempi concreti di phishing con AI

Per capire meglio come si articola l’AI phishing e come può danneggiare una piccola o media impresa dobbiamo valutare alcuni esempi già registrati nel mondo e in Italia. Tenendo ben presente che oggi l’elusione dei controlli di sicurezza da parte degli scammer è sempre più efficace. Secondo keepnetlabs.com, l’80% dei siti di phishing utilizza tecniche di offuscamento basate sull’intelligenza artificiale con un aumento del 47,3% dei tentativi di aggiramento dei gateway di posta elettronica.

Uno degli esempi più comuni di phishing implementato dall’AI è il classico CEO fraud con deepfake vocale. Cosa accade in questi casi? Il dipendente di un’azienda riceve una chiamata che sembra provenire dal direttore generale, con richiesta urgente di trasferimento fondi. Risultato? Danno economico notevole.

Lo hanno scoperto a proprie spese i protagonisti del caso Arup (2024) che hanno visto svanire ben 25 milioni di dollari. La firma di ingegneria britannica che ha progettato l’Opera House di Sydney è stata truffata proprio grazie all’AI. Un impiegato di Hong Kong è stato convinto a partecipare a una videochiamata dove pensava di vedere il CFO e altri colleghi, ma erano deepfake che hanno convinto il dipendente a effettuare 15 versamenti.

Altro esempio di AI phishing riguarda l’uso di email personalizzate grazie a dati pubblici su LinkedIn. I bot guidati dall’intelligenza artificiale fanno scraping di informazioni e creano email che sembrano arrivare da partner o fornitori reali. Per farlo basta un tool simile a ChatGPT, il risultato è perfetto per l’inganno.

Perché le PMI sono il bersaglio ideale?

Le piccole e medie imprese italiane rappresentano un obiettivo ideale per i criminali informatici perché, in linea di massima, ancora non riescono a visualizzare con chiarezza l’importanza della cybersecurity. Molte attività hanno notevoli risorse economiche ma una scarsa attitudine alla sicurezza informatica.

A volte dispongono di meno risorse economiche dedicate alla sicurezza IT; in altri casi, invece, manca la sensibilità e la conoscenza dei rischi. Spesso le attività non hanno un IT Manager interno o non utilizzano gli strumenti giusti per analizzare le falle e scovare le minacce. Certo, attaccare una multinazionale permette di fare il grande colpo ma in molti casi qui ci troviamo di fronte a delle aziende che investono in cybersecurity. 

Con le PMI italiane si raggiunge il giusto equilibrio favorevole per i malintenzionati che diffondono truffe create con l’AI generativa: i dipendenti ricevono poca formazione sulle nuove minacce digitali e non si attivano le protezioni necessarie nonostante le conseguenze. Come perdita di dati, interruzione dei servizi con richieste di risarcimento, danni alla brand reputation e problemi legali legati al GDPR.

Tecniche AI usate negli attacchi phishing

Il phishing intelligente e realizzato su misura grazie all’aiuto dell’AI è una minaccia reale, solida. Questo perché i criminali informatici sfruttano diversi strumenti inseribili nelle toolbox dell’intelligenza artificiale per migliorare gli attacchi. Qualche esempio? Ecco cosa monitorare per difendersi dal phishing AI.

Deepfake vocali

Simulano la voce umana, come quella di un CEO o di un manager che gode di privilegi per spingere i dipendenti a trasferire fondi. Questa tecnica è nota come CEO fraud con intelligenza artificiale e può portare a problemi imponenti.

Email scritte con NLP

L’acronimo sta per Natural Language Processing. Questo significa che vengono generati testi credibili, coerenti e privi di errori. Magari alimentati con dati trovati online o nel deep web per rendere il messaggio ancora più verosimile.

Chatbot fraudolenti

Parliamo, in questo caso, di siti costruiti ad arte per emulare quelli ufficiali con chatbot che guidano la vittima a inserire dati sensibili. Obiettivo finale? Rubare delle informazioni che ti permettono di rubare cospicue somme di denaro.

Phishing multicanale

L’intelligenza artificiale al cospetto delle minacce informatiche e del social engineering consente di creare un quadro particolarmente articolato. Generando una combinazione di email, SMS e chiamate automatizzate generate dall’AI.

Come difendersi dal phishing AI-driven

La crescente sofisticazione degli attacchi che combinano phishing e intelligenza artificiale è una minaccia reale ma esistono misure concrete per ridurre i rischi. La prima soluzione è quella che da sempre ci permette di individuare i rischi legati anche ad altre minacce digitali come i ransomware: la formazione continua dei dipendenti, il fattore umano diventa decisivo per evitare di cadere nella trappola degli hacker. 

Ad esempio, puoi prendere l’abitudine di verificare sempre richieste particolari attraverso un canale diverso. Se ricevi una richiesta economica urgente via email, chiama la persona che ha firmato la domanda usando un numero di telefono che conosci. Non quello nell’email.

A tal proposito, ricordiamo che le aziende virtuose affiancano alla formazione del personale anche politiche aziendali virtuose per uniformare l’azione di fronte a email o telefonate sospette. Il tutto poi viene testato grazie a esercitazioni periodiche che simulano attacchi phishing AI per capire se c’è ancora da migliorare.

Come difendersi dal phishing AI? Abbiamo anche l’autenticazione a più fattori (MFA) nella cassetta degli attrezzi. Questo meccanismo di sicurezza permette di ridurre l’impatto nel momento in cui ci sono casi di credenziali rubate a causa di quell’email di phishing che è riuscita a bucare le difese. 

E se l’AI aumenta il livello di difficoltà una volta che si schiera al fianco degli hacker, possiamo ricordare che c’è anche la possibilità di ottenere una mano per difendersi. Le opzioni di detection avanzata, ad esempio, sono in grado di riconoscere le anomalie proprio con l’aiuto dell’intelligenza artificiale. Ovviamente, tutto questo può essere ottimizzato grazie a una consulenza IT personalizzata per PMI. Vuoi scoprire in che modo?

Ruolo della consulenza IT contro il phishing

Sempre difficile per una piccola o media impresa contrastare il phishing e anticipare le sue minacce in autonomia, senza un supporto esterno. La consulenza IT per la cybersecurity ti consente di risolvere proprio questo problema. Ovvero, affrontare le minacce con persone competenti. Il supporto che puoi ottenere:

• Analisi delle vulnerabilità: chi le vive e replica ogni giorno non le nota, ma chi invece è specializzato in questo settore può aiutare l’azienda a ottenere ciò che desidera. Ovvero, una relazione chiara sulle vulnerabilità interne in caso di phishing.
• Sistemi di sicurezza aggiornati: per proteggere la tua azienda non basta attivare software, devi anche aggiornare. Nello specifico, il consulente IT può aiutare l’azienda a scegliere le soluzioni migliori e aggiornarle nel momento giusto.
• Formazione del personale: abbiamo detto che la conoscenza del phishing è fondamentale. È un aspetto fondamentale per anticipare i problemi che possono nascere. Un consulente IT è la persona giusta per creare un percorso guidato.

Poi c’è la possibilità di attivare un monitoraggio costante delle minacce emergenti grazie al lavoro consulenziale. Diciamolo a chiare lettere: un partner IT esperto aiuta i CEO e gli IT Manager a trasformare la sicurezza da costo a investimento.

Da leggere: cos’è lo spear phishing, come funziona l’attacco e come proteggersi

Come gestire al meglio il phishing AI?

Improvvisare non è mai una buona idea, soprattutto se hai la responsabilità dei dati per una piccola o media impresa, bersaglio preferito degli hacker che lavorano con phishing e intelligenza artificiale. Questo non è un rischio ipotetico, è una minaccia presente che colpisce le aziende italiane con attacchi sofisticati. 

La buona notizia è semplice: con la giusta combinazione di tecnologia, formazione e consulenza IT è possibile difendersi. Se sei un CEO o un IT Manager di una piccola o media impresa non puoi perdere di vista l’obiettivo: questo è il momento giusto per valutare il livello di sicurezza della tua azienda e prevenire le nuove minacce. 

In che modo? Noi possiamo aiutarti. Chiedi subito una consulenza con i nostri esperti IT per scoprire come proteggere la tua azienda dal phishing AI-driven. E come tutelare i dati più importanti per il tuo business.