Home » News » IA nella sicurezza informatica: come i modelli linguistici di grandi dimensioni stanno cambiando il panorama delle minacce.

IA nella sicurezza informatica: Come i modelli linguistici di grandi dimensioni stanno cambiando il panorama delle minacce.

Phishing IA e Cybersicurezza

Dalla fine del 2022, abbiamo assistito a un’impennata dell’IA basata su modelli linguistici di grandi dimensioni (LLM) sotto forma di ChatGPT (Generative Pre-trained Transformer) e dei suoi cugini. Si è scritto molto su come questi strumenti avranno un impatto sulla sicurezza informatica.

Nel sondaggio 2024 di Hornetsecurity, uno sconcertante 45% dei leader aziendali ha espresso la preoccupazione che l’IA possa aggravare il panorama delle minacce. Questa tendenza allarmante rispecchia l’aumento globale delle attività dannose guidate dall’IA, con gli attori delle minacce che sfruttano l’automazione e la sofisticazione per orchestrare gli attacchi.

Anche il National Cyber Security Centre (NCSC) del Regno Unito ha rilevato una conseguenza preoccupante: L’intelligenza artificiale sta democratizzando la criminalità informatica, consentendo anche a criminali inesperti di intraprendere attacchi sofisticati precedentemente riservati ad avversari esperti.

È difficile accertare con un elevato grado di certezza se le e-mail dannose siano state create o migliorate da LLM, soprattutto perché, se sono buone, saranno indistinguibili da un’e-mail di phishing ben realizzata (a mano).

Tuttavia, queste sono le aree in cui sappiamo che le LLM hanno un impatto sulla sicurezza informatica:

Qualità del codice: GitHub Copilot (e altri strumenti simili) sta mostrando miglioramenti piuttosto sorprendenti nella produttività degli sviluppatori, sia principianti che esperti. Sebbene esistano delle salvaguardie per impedire a questi strumenti di sviluppare malware evidente, esse possono essere aggirate, quindi è molto probabile che gli sviluppatori di malware utilizzino questi strumenti per produrre più velocemente codice dannoso.
Phishing sofisticato: redazione e miglioramento di e-mail di phishing e soprattutto di spear phishing. Di seguito riportiamo un esempio di una di queste, ma è probabile che i criminali utilizzino questi strumenti per perfezionare la loro formulazione e ottenere il massimo risultato. Anche in questo caso, diversi LLM dispongono di salvaguardie per bloccare questo tipo di usi dannosi, ma spesso possono essere aggirati. Esistono anche strumenti GPT che non dispongono di queste protezioni, come WormGPT e altri. L’indagine 2024 di Hornetsecurity ha rivelato che 3 aziende su 5 descrivono gli attacchi di phishing potenziati dall’intelligenza artificiale come la loro principale preoccupazione.
Tradurre gli attacchi in altre lingue: Molte difese di phishing e Business Email Compromise (BEC) sono tarate per l’inglese e hanno meno successo nel bloccare gli attacchi in altre lingue. Ci sono anche aree geografiche del mondo in cui gli attacchi di phishing e BEC sono stati finora poco frequenti, rendendo il lavoratore medio del dipartimento finanziario meno sospettoso (si pensi al Giappone, ad altri Paesi dell’Asia orientale e all’America Latina). In questo caso, è probabile che assisteremo a un’impennata degli attacchi basati sulla capacità di tradurre le e-mail in una prosa quasi perfetta, da parte di aggressori che non conoscono bene la lingua, ampliando così di molto il loro potenziale bacino di bersagli.
Ricerca mirata: Per portare a termine con successo un attacco di spear-phishing o un attacco telefonico di social engineering al personale dell’helpdesk, è necessaria una conoscenza dettagliata dell’azienda, delle persone che si impersonano e delle loro relazioni con gli altri membri della gerarchia. Tradizionalmente questo viene spesso fatto attraverso LinkedIn, ricerche sui siti web aziendali e simili, ma con l’avvento dei motori di ricerca basati su LLM, la situazione sta cambiando. Come si vedrà nell’esempio che segue, le IA possono aiutare enormemente in questo compito e ridurre l’investimento di tempo necessario.

Per dimostrare quanto sia facile generare un’e-mail di phishing attraverso un LLM, abbiamo deciso di crearne una nostra. Il seguente è un attacco a Andy Syrewicze, un Technical Evangelist di Hornetsecurity. Ecco la richiesta di ricerca iniziale e il risultato:

Come si può vedere, un semplice prompt fornisce una ripartizione dettagliata di una strategia di social engineering per colpire Andy attingendo alla sua impronta online professionale e personale. Qualcosa che richiederebbe molto più tempo per essere realizzato manualmente.

A questo segue una bozza molto convincente di un’e-mail di spear-phishing per Andy.

L’email generata in questo caso è di qualità molto più elevata rispetto alla media delle email di phishing e ha molte più probabilità di successo. La personalizzazione dei riferimenti e del contesto dimostra l’efficacia di strumenti di intelligenza artificiale come gli LLM nella creazione di attacchi di spear-phishing mirati.

Perché cadiamo nelle truffe

Un’indagine approfondita sull’ingegneria sociale e sulla psicologia umana degli hacker è un argomento che meriterebbe un intero libro a sé stante; qui ci concentreremo solo sui punti salienti per far comprendere le caratteristiche di base che ci rendono così suscettibili.

Un’e-mail di phishing ben realizzata presenta le seguenti caratteristiche:

Si mimetizza e fa parte del normale flusso di comunicazione. Siamo abituati a ricevere e-mail per la consegna di un pacco, una notifica dalla nostra banca o un promemoria dal nostro capo, quindi un’e-mail falsa con le stesse caratteristiche ha meno probabilità di destare i nostri sospetti. Ha i loghi, la struttura e il formato giusti e assomiglia al mittente atteso, quindi siamo più propensi a compiere l’azione richiesta.
Farà leva sulle nostre emozioni. La parte più importante di qualsiasi tentativo di ingegneria sociale consiste nel bypassare la parte fredda e logica della nostra mente (il cervello) e attivare le emozioni e il centro “combatti o fuggi” (l’amigdala), in modo da farci compiere azioni che normalmente non contempleremmo. Alcuni approcci fanno appello all’avidità/ricompensa (“clicca qui per avere i biglietti gratis”), altri alla vergogna/imbarazzo (“ho le registrazioni video di ciò che hai fatto ieri sera”), o alla paura/paura (“ho bisogno che tu trasferisca subito questa somma o sarai licenziato”). Il richiamo più comune è l’urgenza; quando una cosa deve essere fatta “subito”, tendiamo a saltare le nostre normali domande sospettose e a portarla a termine, spesso per evitare di provare ulteriormente le emozioni spiacevoli menzionate.

Il messaggio deve contenere un’azione richiesta che non sia troppo insolita. Ad esempio, fornire i propri dati personali alla “banca”, cosa che ricordiamo di aver dovuto fare quando abbiamo aperto un conto in una nuova banca, o reimpostare la nostra password di rete cliccando su un link e vedendoci presentare una pagina di accesso dall’aspetto normale.

L’effetto di un’esca di phishing efficace è quello di mettere in cortocircuito la nostra mente razionale e interrogativa, invocando emozioni e urgenza e fornendo un modo semplice per “risolvere il problema” rapidamente.

Questo ci porta al passo successivo: l’importanza della formazione sulla sicurezza per tutti gli utenti.

La formazione degli utenti è fondamentale

Non si può sottovalutare questo aspetto: non si può costruire un’organizzazione cyber-resistente senza coinvolgere ogni singola persona che vi lavora. Questo inizia con la consapevolezza di base di chiedere a qualcuno sconosciuto che non indossa un badge in ufficio di identificarsi e, se la risposta non è soddisfacente, di chiamare la sicurezza.

Quando qualcuno vi chiama affermando di essere dell’helpdesk IT e vi chiede di approvare la richiesta MFA che state per ricevere sul vostro telefono, non date per scontato che stia dicendo la verità. Controllate sempre prima le loro credenziali per assicurarvi che si tratti di una richiesta legittima.

Quello che si cerca di promuovere è una “paranoia educata”, che renda normale mettere in discussione le richieste insolite e che consenta di comprendere il panorama dei rischi e di affinare l’istinto. La maggior parte delle persone che lavorano nelle aziende non è esperta di informatica e non è stata assunta per queste competenze. Tuttavia, tutti devono avere una conoscenza di base di come funziona il furto di identità nel nostro mondo digitale moderno, sia nella vita personale che in quella professionale.
Devono anche conoscere i rischi aziendali introdotti dai processi digitali, comprese le e-mail.

Grazie a questo contesto, saranno in grado di capire quando le cose sono fuori contesto o insolite e avranno abbastanza sospetti per fare una o due domande prima di cliccare sul link, trasferire i fondi o approvare la richiesta di MFA.

E non si tratta di una spunta una tantum su un modulo per ottenere la conformità a una normativa.

Spesso le lunghe, noiose e obbligatorie presentazioni che le organizzazioni conducono una volta all’anno o a cadenza trimestrale, seguite da quiz a risposta multipla, sono percepite dal personale come una perdita di tempo. Il personale vuole superare le presentazioni in fretta e furia e di solito dimentica le nozioni acquisite.
Al contrario, il programma di formazione dovrebbe essere progettato per essere continuo, consistendo in moduli di formazione di dimensioni ridotte, interessanti, immediatamente applicabili e divertenti, combinati con attacchi di phishing simulati per mettere alla prova gli utenti. Se un utente clicca su un’e-mail di phishing, deve ricevere un’ulteriore formazione.
Nel corso del tempo, il sistema dovrebbe identificare automaticamente gli utenti che cadono raramente in questi attacchi e interromperli con una formazione poco frequente, mentre ai trasgressori abituali vengono fornite regolarmente formazione e simulazioni aggiuntive.
L’altra ragione per una formazione continua è che il panorama dei rischi cambia continuamente. Alcuni mesi fa, le e-mail dannose con codici QR (Quick Response) da scansionare erano un’eccezione, ora sono una vista molto familiare, che richiede una continua sensibilizzazione del personale a non scansionarli sul proprio telefono (al di fuori dei processi aziendali stabiliti).

Gli esperti di sicurezza spesso si lamentano delle priorità del personale, affermando che “se solo si prendessero un secondo per leggere correttamente l’e-mail, individuerebbero i segnali che si tratta di phishing”, oppure “semplicemente non prendono sul serio la sicurezza”.
§Si tratta di un’incomprensione fondamentale delle priorità e della psicologia del lavoratore medio in ufficio: cliccare su un link in un’e-mail vi porterà al massimo a un buffetto, non soddisfare una richiesta urgente del capo può mettervi in guai seri o addirittura licenziarvi.

Ecco perché l’intera leadership, dai quadri intermedi fino all’alta dirigenza, deve dare l’esempio. Se lo fanno e comunicano la loro comprensione delle basi e dei processi sicuri, il personale seguirà l’esempio.
Ma se il CFO chiede un’esenzione dall’MFA o aggira regolarmente i controlli di sicurezza perché “è più efficiente”, non c’è alcuna possibilità che i suoi sottoposti prendano sul serio la sicurezza informatica.

Un giorno nella vita di Cyber Resilient Inc.

Come si presenta un’organizzazione che ha adottato questo approccio? Prima di tutto, nessuno teme di parlare o di fare “domande stupide” su e-mail strane o telefonate strane. Se si verifica un incidente e qualcuno fa clic su qualcosa che non avrebbe dovuto, non ci sono colpevolizzazioni e accuse, non è una questione personale, ma un fallimento di un processo.

Questo comporta un forte senso di sicurezza psicologica, una base importante per la resilienza informatica.

La trasparenza è promossa dalla leadership in tutta l’organizzazione. Capire che siamo tutti esseri umani, che siamo “tutti coinvolti” e che è necessario essere sinceri quando si commettono degli errori, senza paura di essere puniti, migliorerà la cultura della resilienza informatica.

Parlare dei nuovi rischi informatici ed esplorare non solo i rischi aziendali, ma anche i rischi nella vita personale delle persone è un altro risultato importante di una buona cultura della sicurezza. Le nostre vite lavorative e personali si fondono come mai prima d’ora, con persone che inviano e ricevono e-mail dai loro dispositivi personali, a volte persino lavorando dai loro laptop personali (BYOD), il che significa che i rischi per l’azienda non sono limitati alle risorse e alle reti aziendali.

La compromissione dell’identità personale degli utenti può essere sfruttata dai criminali per compromettere le identità e i sistemi aziendali.

Guardarsi allo specchio – in un’organizzazione in cui la resilienza informatica non è valorizzata, il personale avrà paura di commettere errori e non saprà quali processi seguire se pensa di averne commesso uno. I singoli vengono incolpati quando si verificano incidenti, assicurando che qualsiasi problema futuro venga nascosto sotto il tappeto per evitare la stessa sorte

Il personale non capisce l’IT, non capisce il panorama dei rischi e mette abitualmente a rischio l’organizzazione a causa di questa mancanza di comprensione.

Implementazione del servizio di sensibilizzazione alla sicurezza

Come già detto, è importante che la formazione sulla sicurezza sia incorporata nella vita lavorativa dei vostri utenti, non può essere qualcosa che viene fatto una volta ogni sei o dodici mesi. Il Security Awareness Service di Hornetsecurity è stato progettato proprio in quest’ottica, fornendo brevi corsi di formazione video, abbinati a simulazioni di spear phishing.

Ma i team IT, oberati di lavoro, non vogliono nemmeno dedicare molto tempo alla programmazione della formazione e delle simulazioni, per cui il servizio incorpora l’Indice di Sicurezza dei Dipendenti (ESI) che misura la probabilità di ciascun utente (e gruppo, reparto) di cadere in attacchi mirati e simulati.

Per gli amministratori si tratta di un’operazione perlopiù a mani libere, per cui gli utenti che hanno bisogno di formazione e test supplementari li ricevono, mentre il personale con un istinto già acuto viene sottoposto a test meno frequenti. È inoltre possibile monitorare l’ESI nel tempo e vederne le previsioni.

C’è anche un aspetto di gamification in cui gli utenti possono confrontarsi con gli altri, il che crea un forte incentivo a essere più cauti e ad affinare gli istinti. Il materiale formativo è disponibile in più lingue.

Un altro vantaggio del Security Awareness Service sono le statistiche, che forniscono ai team di sicurezza e ai responsabili aziendali i dati per comprendere l’attuale profilo di rischio del personale e dove potrebbe essere necessario un aumento della formazione.

Migliorate la consapevolezza dei dipendenti e salvaguardate i dati critici sfruttando il Security Awareness Service di Hornetsecurity per una formazione e una protezione completa contro le minacce informatiche.

Lavoriamo costantemente per dare ai nostri clienti fiducia nelle loro strategie di Spam & Malware Protection e Advanced Threat Protection.

Scoprite le ultime novità in materia di cybersicurezza: Come individuare un’e-mail di phishing nell’era dell’intelligenza artificiale. Scoprite come l’intelligenza artificiale alimenta i sofisticati attacchi di phishing e ottenete informazioni utili per proteggere la vostra azienda.

Per rimanere aggiornati sugli ultimi articoli e sulle pratiche più recenti, visitate subito il nostro blog Hornetsecurity.

Per concludere…

Oggi tutti gli operatori economici sono in qualche modo consapevoli dei rischi di attacchi informatici, messaggi di phishing e furti di identità. È essenziale che le aziende riconoscano che le minacce alla sicurezza informatica sono in continua evoluzione, soprattutto nell’era dell’IA.
Gli attori delle minacce stanno sfruttando gli strumenti di intelligenza artificiale per creare sofisticati attacchi di phishing che possono indurre i dipendenti a cliccare su link dannosi o a rivelare informazioni sensibili. Gli esempi di phishing che abbiamo condiviso dovrebbero essere una buona fonte per comunicare al vostro personale i segnali delle e-mail di truffa.