L’intelligenza artificiale ha abbassato drasticamente la barriera d’ingresso per i cybercriminali. Ora basta un profilo Instagram pubblico, circa trenta foto e mezz’ora di tempo per costruire una truffa personalizzata capace di ingannare anche utenti e dipendenti aziendali attenti. È quanto dimostra l’ultimo studio di TrendAI, la business unit di Trend Micro dedicata alla sicurezza dell’AI.
Dalla foto di vacanza al sito di phishing: il workflow dei cybercriminali AI-driven
La ricerca, pubblicata con il titolo “From Holiday Snap to Custom Scam in 30 Minutes”, riproduce passo per passo il processo che un malintenzionato potrebbe seguire oggi per colpire una vittima. I ricercatori di TrendAI hanno raccolto circa 30 immagini da un profilo Instagram pubblico, le hanno analizzate con modelli di visione artificiale per estrarne contesto, interessi, eventi di vita significativi, luoghi frequentati e affiliazioni. Questi dati sono stati poi arricchiti con strumenti di intelligence open source, trasformati in profili comportamentali dettagliati e infine usati per generare email di phishing e un sito web clone altamente convincente.
Il tempo totale dell’operazione: 30 minuti. Zero accesso a dati privati. Tutto il materiale era già pubblico.
Il caso che fa riflettere: l’AI individua le vulnerabilità emotive
Uno degli esempi più inquietanti emersi dalla ricerca riguarda un utente le cui foto rivelavano, indirettamente, il percorso di recupero da una malattia grave. Il sistema AI ha identificato questa informazione come il vettore di attacco più efficace per costruire un’esca personalizzata. Nessuna violazione della privacy formale, nessun accesso a cartelle cliniche: solo l’analisi di ciò che l’utente aveva scelto di condividere liberamente.
Questo elemento cambia radicalmente la natura del social engineering: non si tratta più di attacchi generici ma di manipolazioni costruite su misura, capaci di abbattere le difese psicologiche anche degli utenti più consapevoli.
Le 5 fasi del nuovo phishing potenziato dall’AI
Il flusso operativo documentato da TrendAI si articola in cinque passaggi precisi:
- Raccolta automatizzata di immagini pubbliche da Instagram tramite strumenti liberamente disponibili.
- Analisi visiva con modelli AI per estrarre segnali contestuali: eventi, luoghi, interessi, relazioni.
- Arricchimento del profilo con fonti OSINT (Open Source Intelligence).
- Identificazione dei temi emotivi o comportamentali più efficaci per costruire l’esca.
- Generazione automatica di email di phishing personalizzate e creazione di un sito web clone a tema.
Impatto sulle organizzazioni: il rischio non è solo personale
Le implicazioni per il mondo enterprise sono dirette. Dirigenti, manager, dipendenti e system integrator lasciano tracce digitali continue: profili LinkedIn aggiornati, post su Instagram, partecipazione a eventi pubblici. Man mano che la profilazione AI diventa più rapida ed economica, queste informazioni si trasformano in potenziali vettori d’attacco contro le organizzazioni.
“Il phishing mirato esiste da anni, ma grazie all’intelligenza artificiale assistiamo a grandi cambiamenti nella velocità e nella portata di questa attività – afferma Marco Fanuli, technical director di TrendAI Italia -. I cybercriminali possono ora automatizzare le attività di profilazione e questo permette di risparmiare molto tempo e di colpire un numero incredibilmente maggiore di obiettivi, non solo quelli ad alto valore.”
Cosa devono fare i responsabili IT e cybersecurity
La ricerca di TrendAI non è un esercizio teorico: è un segnale di allarme operativo. La scalabilità degli attacchi AI-driven impone alle organizzazioni di rivedere le policy di gestione dell’identità digitale dei propri collaboratori, potenziare i programmi di security awareness con scenari di spear phishing personalizzato e investire in soluzioni di threat intelligence capaci di rilevare campagne costruite su profili OSINT.
Il perimetro aziendale non si difende più solo con firewall e antivirus. La superficie d’attacco oggi include ogni foto pubblicata, ogni evento taggato, ogni like che rivela un interesse. La cultura della sicurezza deve estendersi anche alla gestione della propria impronta digitale pubblica.