Secondo un’analisi di Trend Micro sono sufficienti 30 minuti per profilare un utente usando immagini da un profilo pubblico di Instagram e creare campagne di phishing su misura. Nell’era dell’intelligenza artificiale, infatti, le foto pubbliche condivise sui social media possono rapidamente essere convertite in campagne di phishing altamente personalizzate.
Un risultato allarmante
A sostenerlo il report From Holiday Snap to Custom Scam in 30 Minutes. How AI Turns Public Photos Into Targeted Attacks firmato da TrendAI, business unit di Trend Micro. La ricerca consiste in una dimostrazione sviluppata dai ricercatori di TrendAI per replicare il flusso di lavoro di un ipotetico malintenzionato. Il risultato è allarmante: per profilare un utente, utilizzando circa 30 immagini tratte da un profilo pubblico di Instagram, e per creare un sito web di phishing su misura, il tempo richiesto è di soli 30 minuti.
Come sono cambiate negli anni le campagne di phishing
Marco Fanuli, Technical Director di TrendAI Italia Il phishing mirato esiste da anni, ma grazie all’intelligenza artificiale assistiamo a grandi cambiamenti nella velocità e nella portata di questa attività. I cybercriminali possono ora automatizzare le attività di profilazione. E questo permette di risparmiare molto tempo e targettizzare un numero incredibilmente maggiore di obiettivi, non solo quelli ad alto valore.
I vantaggi per i cybercriminali
In occasione della dimostrazione, i ricercatori TrendAI hanno:
raccolto immagini pubbliche da Instagram, utilizzando strumenti liberamente disponibili.
Utilizzato modelli di analisi delle immagini, per estrarre segnali contestuali come eventi della vita, interessi, luoghi e affiliazioni.
Arricchito i risultati con strumenti di intelligence open source.
Identificato temi di alto interesse per catturare l’attenzione.
Generato e-mail personalizzate e creato un sito di phishing a tema.
In un caso, il sistema ha dedotto dalle immagini condivise che un utente si era ripreso da una malattia molto grave e lo ha classificato come il tema di targeting più efficace. Non è stato necessario accedere a dati privati, poiché l’informazione era già pubblica.
Allarme anche nelle aziende per le campagne di phishing personalizzate
Eventuali implicazioni riguardano anche le organizzazioni. Dirigenti e dipendenti lasciano le proprie impronte digitali ovunque e man mano. Questo fa sì che se la profilazione basata sull’AI diventa più rapida ed economica, i cybercriminali possono utilizzare il contesto personale e creare esche più convincenti per colpire il business.
