Foto social e AI, bastano 30 minuti per creare truffe digitali su misura

Il phishing personalizzato entra in una nuova fase con l’uso dell’intelligenza artificiale. Secondo l’ultimo studio di TrendAI, business unit di Trend Micro specializzata nella sicurezza dell’AI, le foto pubbliche condivise sui social media possono essere trasformate in campagne di attacco mirate in tempi rapidissimi. Il dato più allarmante è questo: per profilare un utente partendo da circa 30 immagini prese da un profilo pubblico Instagram e costruire un sito di phishing su misura, bastano 30 minuti.

La ricerca, intitolata From holiday snap to custom scam in 30 minutes. How ai turns public photos into targeted attacks, è stata realizzata come dimostrazione pratica. I ricercatori hanno replicato il flusso di lavoro di un ipotetico malintenzionato per mostrare quanto possa essere semplice sfruttare contenuti già disponibili online.

Come funziona il phishing su misura alimentato dall’AI

Nel corso della dimostrazione, il team di TrendAI ha raccolto immagini pubbliche da Instagram usando strumenti liberamente disponibili. A quel punto ha utilizzato modelli di analisi delle immagini per estrarre segnali contestuali come eventi della vita, interessi, luoghi e affiliazioni.

Successivamente, i risultati sono stati arricchiti con strumenti di intelligence open source. In questo modo è stato possibile individuare i temi più sensibili e più efficaci per catturare l’attenzione della vittima, fino a generare email personalizzate e costruire un sito di phishing tematico.

Il punto più inquietante: non servono dati privati

Uno degli aspetti più delicati emersi dalla ricerca è che non è stato necessario violare profili o accedere a dati riservati. Tutto il materiale usato era già pubblico.

In uno dei casi analizzati, il sistema ha dedotto dalle immagini che un utente si era ripreso da una malattia molto grave e ha classificato proprio questo come il tema di targeting più efficace. Il punto, quindi, è che l’AI non ha avuto bisogno di rubare informazioni: le ha semplicemente lette, interpretate e riorganizzate a partire da ciò che la persona aveva già pubblicato online.

Fanuli: cambia la velocità, cambia la scala

A spiegare il salto compiuto da queste tecniche è Marco Fanuli, technical director di TrendAI Italia. «Il phishing mirato esiste da anni, ma grazie all’intelligenza artificiale assistiamo a grandi cambiamenti nella velocità e nella portata di questa attività», afferma.

Il cambiamento, secondo Fanuli, è soprattutto nella capacità di automatizzare la profilazione. «I cybercriminali possono ora automatizzare le attività di profilazione e questo permette di risparmiare molto tempo e di targettizzare un numero incredibilmente maggiore di obiettivi, non solo quelli ad alto valore», spiega.

Un rischio che riguarda anche le aziende

Le implicazioni non si fermano alla sfera personale. Lo studio mette in evidenza che il problema riguarda anche le organizzazioni. Dirigenti e dipendenti lasciano continuamente tracce digitali online e questo materiale può diventare una base preziosa per costruire attacchi più credibili contro il business.

Se la profilazione basata sull’AI diventa sempre più rapida, economica e precisa, allora i cybercriminali possono usare dettagli personali, contesti emotivi e riferimenti reali per creare esche convincenti, colpendo non più soltanto bersagli di alto profilo ma anche una platea molto più ampia.