Il periodo pre-natalizio, a partire dal recente Black Friday, non è allettante solo per chi si dedica allo shopping, ma anche per chi punta ad arricchirsi con gli attacchi informatici. In questi giorni, infatti, ci sono milioni di persone, magari distratte dalla frenesia degli acquisti e dei regali, che scandagliano le offerte online dell’ultimo minuto, controllano il tracking delle spedizioni e cercano codici sconto da inserire nei loro carrelli virtuali. Spesso sono stanche, di fretta e a rischio di cliccare su link pericolosi. Gli hacker non aspettano altro: possono creare siti falsi ma convincenti in pochi minuti, inserire link di phishing nelle e-mail promozionali e chiedere dati di accesso o di pagamento a persone che, in una normale giornata in ufficio, sarebbero invece in grado di fermarsi, riflettere e chiudere la pagina web.
Quest’anno, gli hacker hanno a disposizione un nuovo strumento: l’intelligenza artificiale, utilizzata per agire più rapidamente e apparire ancora più credibili. Tecnologie che consentono anche di generare siti web fasulli su scala e renderli perfettamente identici a quelli legittimi. Inoltre, le e-mail di phishing possono essere iper-personalizzate grazie all’utilizzo dei dati sottratti tramite password rubate o dei social media e persino essere corredate da voci sintetiche, immagini o deepfake che sembrano proprio provenire dalla banca, dal corriere o dal rivenditore di fiducia delle vittime.
E non è più necessario essere un hacker esperto per riuscire a compiere questi attacchi. Il phishing-as-a-service significa proprio che chiunque può noleggiare un kit di strumenti già pronto contenente i trucchi più avanzati: attacchi polimorfici che cambiano continuamente forma, steganografia (tecnica che nasconde un codice dannoso all’interno delle immagini), codici QR malevoli accorpati o posizionati accanto a quelli legittimi, offuscamento degli URL e strategie per aggirare i sistemi di autenticazione, il tutto ottimizzato per eludere i sistemi di sicurezza delle e-mail più datati che si basano ancora su regole statiche, firme e liste di indirizzi già segnalati come dannosi.
Ma le minacce non finiscono qui. “Gli sviluppi più preoccupanti saranno quelli dell’AI agentica“, spiega Yaz Bekkar, Principal Consulting Architect XDR di Barracuda. “Una volta che gli aggressori potranno accedere facilmente a sistemi in grado di pianificare attacchi, agire e adattarsi in modo autonomo, le campagne di phishing non saranno solo automatizzate, ma impareranno ad autoregolarsi. Se il sistema incontra un ostacolo, come un URL bloccato o un utente dubbioso, potrà ‘ricalcolare il percorso’ in tempo reale: cambiare dominio, pretesto, mittente o canale, perfezionando l’attacco alla velocità di una macchina”.
I consigli per tutelarsi di Barracuda
Quindi, come ci si può difendere in un contesto in cui le minacce informatiche sono in continua evoluzione?
- Innanzitutto partendo dalle basi. Basta riutilizzare le stesse password su tutti i siti: ogni account deve avere una password unica e complessa, protetta dall’autenticazione a più fattori.
- Inoltre, la formazione sulla sicurezza informatica non dovrebbe essere svolta una tantum o tramite contenuti generici, ma deve spiegare come funziona realmente il phishing, come ragionano gli hacker e quali sono i segnali di allarme moderni.
- È anche fondamentale mantenere aggiornati i dispositivi e le app e fare sempre una doppia verifica tramite un canale diverso in caso di richieste urgenti relative a pagamenti, rimborsi, reimpostazione delle password o “chiusura forzata” di un account.
Al tempo stesso, bisogna accettare il fatto che, prima o poi, si potrebbe cadere nella trappola e cliccare su un link malevolo, e perciò è necessario costruire le difese partendo proprio da questa consapevolezza. Ciò significa protezioni e-mail e web basate sull’intelligenza artificiale che non solo cercano link dannosi presenti nella lista dei link già bloccati in precedenza, ma che sono in grado di analizzare il linguaggio, il contesto e il comportamento delle comunicazioni ricevute. Si dovrebbero anche attivare controlli rigorosi sull’identità e sull’accesso, in modo che una sola password rubata non diventi un passepartout per innumerevoli account. Solo con questi accorgimenti è possibile contenere i danni.
In definitiva, poiché i cyber criminali non capiscono solo il codice ma anche gli esseri umani, combinare strumenti di sicurezza moderni, formazione concreta, autenticazione robusta e rilevamenti potenti permette di ridurre drasticamente la possibilità che un clic incauto trasformi un affare da Black Friday in una violazione molto costosa.