Con l’arrivo dell’AI la sicurezza digitale si sta trasformando e i tradizionali schemi di social engineering diventano ancora più insidiosi. L’opinione di Zscaler .
Nel mondo della sicurezza si inizia a vedere che i vecchi schemi d’attacco sono riutilizzati con nuove tecnologie.
Quando l’AI è utilizzata in modo creativo
Un esempio: “Deepfake” è un termine che viene sempre più riportato sulle pagine dei giornali per descrivere video manipolati digitalmente e utilizzati per ricreare l’immagine di una persona o falsificare un’identità. L’ultimo esempio di deepfake targeting, in cui a seguito di una videochiamata contraffatta è stato effettuato un bonifico da 25 milioni di dollari, ha catturato l’attenzione per diversi motivi. Innanzitutto per la quantità di denaro che i criminali informatici sono riusciti a rubare con una singola videochiamata contraffatta. Di per sé, lo schema operativo utilizzato per ingannare la vittima non è una novità. Tuttavia, questo esempio di deepfake ha dimostrato ancora una volta quanto sia sofisticato il livello di adulterazione quando l’intelligenza artificiale viene utilizzata in modo creativo.
La paura delle novità
In genere, le persone temono una tecnologia relativamente nuova, come l’IA. Questo perché non riescono a coglierne immediatamente il pieno potenziale e hanno paura di ciò che non conoscono. Allo stesso modo, le evoluzioni tecnologiche spaventano le persone quando le percepiscono come una minaccia al loro senso di sicurezza o per la loro vita professionale. Come, ad esempio, la possibilità di perdere il posto di lavoro a causa dell’intelligenza artificiale.
Come l’AI trasforma i tradizionali schemi di social engineering
Le tecniche di social engineering utilizzate dai criminali informatici si evolvono costantemente. E di solito i criminali sono più veloci nell’adottare le nuove tecnologie a loro vantaggio di quanto lo siano le aziende che si occupano di sicurezza a proteggere le loro vittime. Troviamo esempi di questo tipo in un passato non troppo lontano. Ai tempi della connettività via modem, un comune malware si connetteva a un modem nel cuore della notte e lo collegava a un numero a pagamento, con conseguenti bollette salate. Qualche anno fa, una serie di applicazioni Android dannose ha violato i telefoni cellulari per comporre numeri a pagamento fruttando così soldi facili e veloci, in pratica una forma moderna della vecchia tattica del modem dialer. I cryptominer che sfruttano la potenza di calcolo dei sistemi infetti rappresentano il passo successivo di questa evoluzione.
Il fattore rischio umano
La storia ci ha mostrato una serie di esempi di utilizzo di vecchie tattiche di social engineering. La tecnica di contraffare la voce di un dirigente di alto livello riutilizzando clip audio disponibili pubblicamente per minacciare gli utenti e indurli ad agire è già abbastanza nota. La falsificazione di sessioni video che mostrano una serie di persone durante una chiamata interattiva e dal vivo, tuttavia, dimostra il nuovo (e spaventoso) livello di contraffazione raggiunto dai criminali informatici. Questo ha seminato un nuovo livello di paura rispetto all’evoluzione tecnologica dell’IA. È la dimostrazione perfetta della facilità con cui gli esseri umani possono essere ingannati o costretti ad agire, e di come criminali informatici possano sfruttarla a loro vantaggio.
Mancanza di formazione ad hoc
Questo attacco evidenzia anche come una nuova tecnologia può consentire ai criminali informatici di svolgere le solite attività, ma in modo più efficiente. E, naturalmente, i malintenzionati ne stanno approfittando. Purtroppo, non c’è ancora una generale consapevolezza della costante evoluzione delle tecniche di social engineering. In generale, il grande pubblico non segue le notizie relative alla sicurezza e crede che questo tipo di attacchi non li colpirà mai. Questo è ciò che rende difficile l’efficacia della formazione tradizionale e la sensibilizzazione alla sicurezza informatica. L’utente (come singolo individuo) non crede di poter essere preso di mira. Quindi, quando ciò accade, è impreparato e cade vittima di un attacco di social engineering.
Gli esseri umani non sono macchine
Sulla scia di questo recente attacco sono state sollevate anche domande su come un dipendente possa avere qualche possibilità di accorgersi che si tratta di un falso, se l’IA è davvero così efficace da far sembrare questi video così realistici. Il fatto è che gli esseri umani non sono macchine e saranno sempre un fattore di rischio come prima linea di difesa all’interno di un’azienda. Questo perché avranno un livello variabile di sensibilizzazione sulla sicurezza (a prescindere da quanto valido possa essere il processo di formazione interna).
L’intelligenza artificiale non riposa mai
Immaginiamo un utente che abbia passato una brutta serata o sia tornato a casa tardi da un viaggio di lavoro o da un evento sportivo. Semplicemente, il giorno dopo potrebbe non essere così concentrato nel rilevare le moderne tecniche di social engineering o nel prestare attenzione ai dettagli. Per contro l’intelligenza artificiale non avrà una giornata no: la sua modalità operativa rimarrà costante.
Tradizionali schemi di social engineering, come li trasforma l’AI
Il fatto che questo tipo di schemi strategici continuino a rivelarsi efficaci dimostra che le aziende non hanno ancora adattato processi di sicurezza e organizzativi per gestirli. Un modo per contrastare i video deep fake inizia a livello di processi (di sicurezza). La prima idea che mi viene in mente è semplice: fare in modo che i sistemi di videoconferenza includano una funzione per autenticare un utente connesso come essere umano. Un semplice plug-in potrebbe fare al caso nostro, impiegando l’autenticazione a due fattori per verificare l’identità all’interno di Zoom o Teams, ad esempio. Si spera che un’API di questo tipo sia abbastanza facile da sviluppare e rappresenterebbe un enorme passo avanti nella prevenzione degli attacchi di sniffing anche attraverso il telefono.
Utilizzare la tecnologia per anticipare i criminali
Inoltre, l’approccio culturale che teme l’intelligenza artificiale deve cambiare. È una tecnologia straordinaria, non solo quando viene usata impropriamente. La società deve solo comprenderne i limiti. L’IA può essere effettivamente implementata per fermare questo tipo di attacchi moderni se i responsabili della sicurezza imparano a controllare il problema e a utilizzare la tecnologia per giocare d’anticipo sui criminali informatici. Le tecnologie basate sull’arte dell’inganno esistono già. E l’IA può essere utilizzata per rilevare le anomalie in modo molto più rapido ed efficace, dimostrando il suo potenziale positivo. Da un punto di vista più globale, l’adozione di un approccio Zero Trust per la sicurezza può consentire alle aziende di migliorare continuamente il loro livello di sicurezza per quanto riguarda i processi.
La soluzione Identity Threat Detection and Response
Le soluzioni Zero Trust non solo possono aiutare a livello di connettività, ma anche migliorare i flussi di lavoro della sicurezza. Aiuta infatti a verificare se tutti i partecipanti a una chiamata sono autenticati rispetto a una directory interna. La soluzione Identity Threat Detection and Response (ITDR) di Zscaler mitiga le minacce che prendono di mira l’identità degli utenti. Grazie al nuovo servizio, il rischio per le identità diventa quantificabile, le configurazioni errate vengono rilevate e il monitoraggio in tempo reale e l’escalation dei privilegi aiutano a prevenire le violazioni.
Perchè e come l’AI trasforma i tradizionali schemi di social engineering
Infine, tornando all’esempio iniziale del deepfake di successo, è difficile credere che si possa trasferire così tanto denaro da un’azienda senza processi di verifica che operano in background. È fondamentale che le aziende verifichino il livello di rischio complessivo di tali processi all’interno della loro infrastruttura. Se si mettessero in atto solidi processi amministrativi per ridurre i rischi, non solo dal punto di vista della sicurezza, ma anche per i processi operativi come l’autenticazione dei pagamenti, le barriere contro gli attacchi aumenterebbero notevolmente. Non tutto deve essere migliorato da una soluzione tecnologica. A volte una nuova procedura in cui due persone devono firmare un trasferimento di fondi può essere il passaggio che evita all’azienda di perdere 25 milioni di dollari.