7 linee guida per identificare e mitigare il phishing abilitato dall’IA
L’emergere di efficaci strumenti di elaborazione del linguaggio naturale come ChatGPT significa che è giunto il momento di capire come difendersi dai cyberattacchi basati sull’intelligenza artificiale. Le capacità di generazione del linguaggio naturale dei modelli linguistici di grandi dimensioni (LLM) si adattano naturalmente a uno dei vettori di attacco più importanti della criminalità informatica: il phishing. Il phishing si basa sull’inganno delle persone e la capacità di generare un linguaggio efficace e altri contenuti su scala è uno strumento importante nel kit dell’hacker.
Fortunatamente, esistono diversi modi per mitigare questa crescente minaccia. Ecco sette linee guida per essere pronti nell’era del phishing abilitato dall’intelligenza artificiale.
Comprendere la minaccia
Un leader incaricato della sicurezza informatica può anticipare i tempi comprendendo a che punto siamo nella storia del machine learning (ML) come strumento di hacking. Attualmente, l’area più importante di rilevanza dell’IA per la cybersicurezza è la generazione di contenuti. È qui che il machine learning sta facendo i suoi passi da gigante e per gli hacker è un’ottima occasione per sfruttare vettori come il phishing e i chatbot maligni. La capacità di creare testi convincenti e ben formati è nelle mani di chiunque abbia accesso a ChatGPT, ovvero chiunque abbia una connessione a internet.
“La ricerca della grammatica sbagliata e dell’ortografia errata appartiene al passato: anche le e-mail di phishing precedenti alla ChatGPT erano sofisticate” afferma Conal Gallagher, CIO e CISO della società di gestione IT Flexera. “Dobbiamo chiederci: ‘L’email è attesa? L’indirizzo di provenienza è legittimo? L’email vi invoglia a cliccare su un link?”. La formazione sulla sicurezza ha ancora un ruolo da svolgere”.
Gallagher sottolinea una ricerca dell’azienda di cybersicurezza WithSecure che dimostra una serie di interazioni con ChatGPT in cui l’intelligenza artificiale genera email di phishing efficaci. Dobbiamo quindi riconoscere il fatto che l’IA può essere utilizzata ora per generare contenuti efficaci e che migliorerà sempre di più. Gli strumenti LLM miglioreranno, saranno sempre più disponibili per gli hacker e verranno creati strumenti personalizzati. È un buon momento per iniziare a prendere provvedimenti per rafforzare le politiche di sicurezza.
Dobbiamo anche aspettarci che i contenuti di phishing diventino non solo più avvincenti ma anche più mirati, in grado quindi di incorporare specifiche di tempo, luogo ed eventi. I dipendenti non possono più fare affidamento sui segni evidenti che indicano che un’e-mail sia dannosa. Le immagini, persino l’audio e il video, possono essere falsificati con tecniche di generazione di contenuti. È quindi necessario ribadire continuamente che qualsiasi email inaspettata è sospetta.
La mentalità e la cultura sono le difese principali
“Il 90% delle vittime di crimini informatici potrebbe essere facilmente evitato se gli utenti finali fossero armati di alcune conoscenze chiave” spiega Scott Augenbaum, agente speciale in pensione della Cyber Division dell’FBI. “La prima linea di difesa consiste nel diventare un firewall umano”. In altre parole, la mentalità umana è il fulcro della sicurezza informatica. Pertanto, la coltivazione di questa mentalità all’interno di un’azienda è fondamentale.
“La cultura si mangia la strategia a colazione ed è sempre dall’alto verso il basso” afferma Stu Sjouwerman, CEO di KnowB4. Il pensiero e il comportamento quotidiano dei dipendenti è il sistema immunitario di base dell’azienda: la formazione costante dei dipendenti alla consapevolezza della sicurezza è fondamentale. Con il phishing abilitato dall’intelligenza artificiale, il messaggio importante è che non si deve dare peso alle e-mail e alle altre comunicazioni in base allo stile e alla raffinatezza del loro linguaggio.
Enfatizzare l’importanza di agire correttamente
L’e-mail e altri elementi dell’infrastruttura software offrono una sicurezza di base integrata che ci garantisce di non essere in pericolo finché non siamo noi stessi ad agire. È qui che dobbiamo essere iperconsapevoli di ciò che stiamo facendo quando agiamo. Il primo anello di difesa nella nostra mentalità dovrebbe essere: “Il contenuto che sto guardando è legittimo, non solo in base ai suoi aspetti interni, ma considerando l’intero contesto?”. Il secondo anello di difesa nella nostra mentalità deve essere: “Aspetta! Mi stanno chiedendo di fare qualcosa”.
Quando gli utenti fanno un passo avanti dopo aver ricevuto un tentativo di phishing, è una grande vittoria per i malintenzionati: solo con questo elemento in atto è possibile procedere all’attacco. I professionisti della sicurezza dovrebbero addestrare se stessi, i dipendenti e chiunque voglia ascoltare a sentire i campanelli d’allarme quando viene richiesto di inserire informazioni o di eseguire un’applicazione sconosciuta.
Naturalmente, quando si tratta di un’operazione come il trasferimento di denaro, il senso di cautela deve essere elevato. Con i deepfake, ci sono stati casi in cui i dipendenti hanno creduto che i loro superiori avessero inviato loro indicazioni legittime per inviare denaro. Le comunicazioni di grande importanza dovrebbero essere verificate in un secondo canale non falsificabile.
Eseguire simulazioni di phishing
L’unico modo per verificare la capacità di un’azienda di combattere il phishing è eseguire dei test. L’esecuzione di campagne di phishing con contenuti generati dall’intelligenza artificiale è una parte importante per contrastare la minaccia. L’esecuzione di una campagna efficace è un argomento a sé stante, ma la base di una buona campagna inizia con la definizione di obiettivi concreti; le metriche che possono essere misurate dovrebbero essere utilizzate per guidare i test. Un buon esempio è quello di misurare la frequenza con cui vengono segnalate le email di phishing e poi spostare l’ago della bilancia su questo indicatore.
La creazione di una campagna anti-phishing aiuta anche a sottolineare l’utilità degli strumenti di intelligenza artificiale per la generazione di contenuti efficaci. Ciò contribuirà a rafforzare la necessità di prendere sul serio il problema. “Sebbene l’IA sia persistente, è possibile rendere la vostra sicurezza resiliente rafforzando spesso le migliori pratiche di sicurezza e mettendole alla prova” spiega Trevor Duncan, ingegnere della sicurezza di JumpCloud. “Se attualmente non state coinvolgendo i vostri dipendenti in attacchi di social engineering simulati, è un’ottima cosa da aggiungere ai vostri piani per il 2023 per portare resilienza al vostro programma di sicurezza”.
Incorporare strumenti per automatizzare il rilevamento dell’IA
OpenAI (l’azienda che sta dietro a ChatGPT) e altri hanno rilasciato strumenti per rilevare il testo generato dall’intelligenza artificiale. Questi strumenti continueranno a migliorare insieme ai generatori NLP e possono essere integrati e automatizzati per aiutare a rilevare i contenuti dannosi. Molti fornitori di strumenti per la scansione delle e-mail stanno iniziando a sfruttare l’intelligenza artificiale per perfezionare la comprensione di contesti come i metadati e la posizione nella valutazione dei contenuti legittimi. Combattere il fuoco con il fuoco (in questo caso, utilizzare l’IA per combattere l’IA) è una parte importante del futuro della cybersicurezza.
Il rilevamento del phishing è una parte fondamentale di una strategia globale per la rete e l’infrastruttura ed è particolarmente efficace quando la ricognizione e l’infiltrazione dell’infrastruttura assistita dall’IA si combinano con il rilevamento e la prevenzione assistiti dall’IA. Molte aziende di sicurezza di alto livello si stanno muovendo per incorporare questi strumenti nelle loro offerte, come Okta e DarkTrace.
“I bot sono uno strumento efficace per gli aggressori, perché sfruttano l’intelligenza artificiale e il machine learning per adattarsi e superare rapidamente i cambiamenti della sicurezza” spiega Jameeka Green Aaron, CISO della divisione Auth0 di Okta. “Se vogliamo essere all’avanguardia, dobbiamo sfruttare l’automazione per ingerire informazioni sulle minacce in tempo reale e l’autenticazione adattiva, che è un metodo per verificare l’identità di un utente in base a fattori quali la posizione, lo stato del dispositivo e il comportamento dell’utente finale”.
Il rilevamento dell’intelligenza artificiale è una frontiera attiva nella ricerca sul machine learning. Questa ricerca continuerà a essere portata in azienda come strumento per combattere il phishing abilitato dall’IA e dovrebbe essere uno spazio da tenere sotto stretta osservazione nei prossimi mesi.
Fornire un meccanismo semplice per segnalare il phishing
Poiché le campagne di phishing abilitate dall’IA possono essere prodotte in massa in modo più efficiente, è importante riconoscerle nel momento in cui si sviluppano; ciò consente di informare rapidamente i dipendenti e fornisce input fondamentali per gli strumenti anti-phishing e i modelli di rilevamento dell’IA.
Oltre a semplificare l’invio di una segnalazione, assicuratevi che il meccanismo catturi il maggior numero di informazioni possibili per migliorarne il valore e renderlo perseguibile. L’inoltro di un’e-mail a un indirizzo di segnalazione è utile per catturare tutte le intestazioni e i metadati di un’e-mail, mentre un portale con un semplice modulo è utile per segnalare siti web di phishing e simili. I governi incoraggiano sempre più le organizzazioni a includere le politiche DMARC (domain-based message authentication, reporting, and conformance), compresa la CISA, che fornisce una serie di raccomandazioni.
La segnalazione del phishing è una parte fondamentale di qualsiasi infrastruttura di sicurezza solida e una segnalazione efficace diventa particolarmente importante nel contesto delle campagne di IA a causa della maggiore capacità degli aggressori di scalare gli attacchi in stile spear-phishing (attacchi che incorporano informazioni specifiche dall’interno dell’organizzazione) automatizzando, raccogliendo e incorporando tali informazioni. Questo è un aspetto su cui concentrarsi quando si eseguono test sui sistemi di rilevamento e segnalazione del phishing.
Incorporare un’autenticazione resistente al phishing
L’autenticazione basata su password è intrinsecamente soggetta al phishing e tecniche come Captcha sono particolarmente vulnerabili all’IA. D’altra parte, esistono approcci di autenticazione che sono resistenti al phishing. I passkey sono probabilmente la modalità di autenticazione più resistente al phishing. Sono ancora in fase di sviluppo e diffusione, ma stanno diventando sempre più mainstream. Una volta adottati, sono praticamente inattaccabili.
Anche l’autenticazione a più fattori (MFA) è utile, perché la semplice esposizione di un nome utente e di una combinazione di password su un sito o un’interazione di phishing non è sufficiente per consentire a un hacker di accedere a una risorsa se è necessario un autenticatore secondario.