Spear phishing: una nuova tipologia di truffa che sfrutta l’intelligenza artificiale

Spear phishing: una nuova tipologia di truffa che sfrutta l’intelligenza artificiale

Si parla tanto di intelligenza artificiale come nuova frontiera dell’innovazione tecnologica, ma non va dimenticato che questi nuovi strumenti possono essere utilizzati anche per scopi “malevoli” e dunque dare alla luce nuove tipologie di truffe.

È il caso dello spear phishing, una forma dell’ormai noto phishing altamente mirata che, sfruttando gli algoritmi di apprendimento automatico, permette agli aggressori di analizzare grandi quantità di dati per creare messaggi personalizzati e convincenti che aggirano le misure di sicurezza tradizionali.

Di per sé gli obbiettivi dello spear phishing sono gli stessi del “phishing classico” – gli attacchi e le truffe effettuate tramite email, sms o telefono – ovvero il furto di informazioni sensibili come credenziali di accesso o dati di carte di credito, piuttosto che l’infettare i dispositivi con malware e keylogger (virus in grado di registrare l’attività di digitazione con tastiera dell’utente), gli stessi vengono però perseguiti “meglio”.

Sfruttando l’intelligenza artificiale e altre tecniche di social engineering, infatti, gli autori dello spear phishing rendono estremamente più credibili le richieste di seguire un link, fornire dati sensibili, etc, rispetto ai spesso grossolani tentativi di phishing a cui siamo abituati.Le mail possono risultare apparentemente inviate da mittenti con cui abbiamo familiarità e in cui nutriamo fiducia, ad esempio da amici o colleghi di lavoro: i truffatori, ad esempio, raccolgono più informazioni possibili dai profili dei social media, quali Facebook, Instagram e LinkedIn, per fingersi parti delle nostre “reti”.

Come difendersi?

  • Valgono le regole base da adottare contro qualunque forma di phishing, ovvero l’esercitare estrema diffidenza quando si ricevono mail o sms che creano “urgenza” ed invitano ad agire tempestivamente, specie nel senso del fornire dati personali / sensibili;
  • Se ci si trova di fronte ad e-mail con queste caratteristiche, prendersi il tempo per verificarne l’origine e, se apparentemente proviene dalla propria rete sociale, contattare il mittente tramite un diverso canale;
  • Verificare i collegamenti e i siti web senza cliccarvi: spesso e volentieri, basta poco per accorgersi che la destinazione del link è malevola;
  • Utilizza sempre un software antivirus che abbia come caratteristica la scansione in tempo reale di e-mail ed sms alla ricerca di allegati e link potenzialmente dannosi.
  • Se comunque si rimane vittima di questa o di diversa truffa, è possibile rivolgersi alle sedi territoriali di Adiconsum Emilia-Romagna per limitare i danni. Ad esempio, nel caso di utilizzo indebito della carta di credito a seguito di phishing, è possibile far valere l’assenza di “colpa grave”, specie nel caso di raggiri dotati di particolare livello di dettaglio e complessità, come quello appena raccontato.

Immagine di freepik