Cybersecurity: il phishing sta per compiere 30 anni

Security Awareness
5 Luglio 2024
phishing-compie-trentanni

Cyber Guru fa il punto tra le truffe “evergreen” e i raggiri sofisticati dall’intelligenza artificiale: dopo quasi 30 anni, il phishing è un fenomeno ancora attuale, che si è evoluto nel tempo e che continua a mietere vittime (e, nel 74% delle truffe messe a segno, la falla del sistema è causata dall’errore umano).

Come ogni fenomeno, anche il phishing si è evoluto nel corso degli anni.
A distanza di quasi 30 dal primo caso, le truffe informatiche di questo tipo non si sono ridotte, anzi, si sono evolute grazie allo sviluppo tecnologico e all’AI, portando a perdite economiche, talvolta ingenti, per organizzazioni pubbliche e private.

Per aiutare gli utenti a riconoscerle, Cyber Guru, piattaforma di Security Awareness Training, fa il punto sulle truffe informatiche più diffuse nel Paese.

Phishing, una truffa basata sull’errore umano

Il phishing fa leva sull’errore umano che, secondo il Data Breach Investigations Report 2023 di Verizon, è il fattore preponderante nel 74% dei casi di breach. 

Il primo caso di phishing risalirebbe al 1996, quando alcune persone, non volendo pagare per la navigazione Internet, resa possibile dal primo Internet Service Provider degli Stati Uniti, America on Line, cambiarono la propria intestazione mail spacciandosi per amministratori della società. Centinaia furono all’epoca le vittime della campagna mirata ad ottenere nome utente e password per poter accedere gratuitamente a Internet.

Non molto tempo dopo, all’inizio degli anni 2000, i criminali iniziarono a studiare tutte le occorrenze nelle quali era più facile sottrarre piccole somme di denaro agli utenti del web sfruttando i cosiddetti bias cognitivi, nonché la tendenza delle persone a condividere spontaneamente contenuti e link, ignari della loro pericolosità. Con la digitalizzazione dei servizi hanno poi preso piede le trappole basate su false promozioni o sconti tramite mail e SMS e, in tempi più recenti, su pretestuosi blocchi di spedizioni o di account bancari.

L’obiettivo di queste truffe è sempre lo stesso: indurre gli utenti a cliccare su link malevoli e a fornire informazioni riservate.

Anche lo sviluppo dei social ha portato con sé diversi lati negativi, inclusi nuovi raggiri per derubare le persone. Pensiamo, ad esempio, ai Love Scam, in cui la vittima è indotta a credere di star vivendo una relazione romantica con una persona inesistente che chiede denaro perché in una situazione di difficoltà.
Ne sono un esempio la “truffa del militare”, quella “dell’astronauta”, oppure gli annunci in DM di give-away o di ambassadorship che offrono piccoli compensi e visibilità in cambio del pagamento di un articolo da provare a un prezzo ridotto, o della spedizione per riceverlo. Molte pratiche fraudolente sono ormai note ai più, eppure riescono a fare ancora molte vittime. A questo si aggiunge da un lato l’affinamento delle capacità e la creatività dei criminali, dall’altro l’evoluzione dell’intelligenza artificiale.

L’evoluzione del cybercrime: le aziende come obiettivi delle truffe

Con il passare del tempo è venuto a crearsi un vero e proprio mercato sommerso, con tanto di organizzazioni che progettano attacchi di ampia portata ai danni di individui, e sempre più spesso, delle aziende.

Per guadagnare sempre di più, hacker e cybercriminali fanno ricorso all’Ingegneria sociale, un insieme tecniche a metà tra Psicologia e Ingegneria per carpire informazioni personali e dati confidenziali. Come sempre, l’obiettivo principale è ottenere la fiducia degli utenti per indurli ad abbassare la guardia e ad agire in modo poco sicuro.

Un inganno attualmente molto diffuso, conosciuto come la “truffa del CEO”, vede i criminali impersonare figure apicali per richiedere ai colleghi preposti di effettuare urgentemente operazioni finanziarie improrogabili. Per avvalorare il raggiro, negli ultimi tempi si sta facendo sempre più uso dell’AI per generare immagini e video-call estremamente credibili, che inducono la vittima a cadere nella trappola senza esitare.

Molto utili, a fini malevoli, anche i programmi di AI capaci di riutilizzare le tracce sonore dei video caricati sui social per l’elaborazione di messaggi vocali con le parole scelte dal truffatore in grado di ingannare perfino un genitore. Riconoscere i veri timbri vocali è difficilissimo, mentre è molto semplice ingannare qualcuno con una finta chiamata in cui si chiede il versamento di denaro, spacciandosi per un parente in difficoltà economiche.

Sempre sui social, negli ultimi tempi si sta assistendo alla diffusione di video di personaggi noti – industriali, esponenti politici e personalità del mondo spettacolo – che promuovono servizi di investimento finanziario veramente profittevoli. Niente di più falso, anche se i messaggi appaiono verosimili grazie ai deep-fake generati dall’AI. Tra i volti più gettonati quelli di Elon Musk, Tom Hanks, Taylor Swift, Pier Silvio e Marina Berlusconi, Fabio Fazio e Francesco Totti. Insomma, testimonial famosi, e inconsapevoli, di truffe ai danni di piccoli investitori.

“È importante che le persone siano coscienti che sul web è proprio l’errore umano che spalanca le porte ai criminali”, esordisce Maurizio Zacchi, Academy Director di Cyber Guru.
Poi aggiunge:

Quando si parla di truffe online la percezione del pericolo si riduce perché siamo sempre connessi e tutto è alla portata di un click, a questo si aggiunge lo sfruttamento di alcuni bias cognitivi che vengono sfruttati per farci cadere nella trappola.
Il fatto che le istituzioni europee stiano promuovendo delle leggi in questo senso ci dà la misura di come non possiamo sottovalutare il nostro rapporto con la tecnologia e i pericoli – oltre che le opportunità – che nasconde”.

Continua a leggere su Radio Active!

Articoli correlati

Anche lo Sport è sotto attacco cyber

Anche lo Sport è sotto attacco cyber

Le violazioni al Bologna Calcio e allo Stadio San Siro. I pirati del gruppo RansomHub pubblicano su Dark Web alcuni dei documenti sottratti e chiedono al club di Serie A di pagare un riscatto. "Una delle brecce di dati più grandi della storia dello sport italiano”,...

leggi tutto
Rapporto Clusit 2024: i dati che preoccupano

Rapporto Clusit 2024: i dati che preoccupano

In Italia bersagliato il manifatturiero ma gli attacchi alla sanità crescono dell’83% rispetto al primo semestre 2023.La centralità del fattore umano. Dal fronte cyber non arrivano buone notizie. Anzi, la guerra (perché di questo si tratta) è più accesa che mai e il...

leggi tutto