;Resize,width=767;)
I ricercatori del team Forward-Looking Threat Research della società di AI security TrendAI hanno sviluppato uno strumento capace di raccogliere automaticamente post pubblici, foto e informazioni dai profili LinkedIn, analizzarli tramite l'intelligenza artificiale e trasformarli in e-mail di phishing altamente personalizzate, complete di sito Web fasullo, costruito su misura per la vittima. Il tutto realizzato da una sola persona, senza violare alcuna norma sulla privacy, utilizzando esclusivamente dati pubblicamente accessibili. E sapete quanto tempo hanno impiegato per orchestrare questa simulazione di truffa? Meno di 30 minuti! Quello che rende questo scenario particolarmente rilevante non è la complessità tecnica dell'operazione, ma la velocità d’esecuzione e la semplicità con cui è stato messo in piedi: gli strumenti necessari sono già disponibili, economici e alla portata di chiunque abbia la motivazione per usarli. E questo cambia radicalmente il panorama delle minacce informatiche per aziende e professionisti, perché significa che chiunque pubblichi le proprie attività su LinkedIn, come conferenze a cui ha partecipato, progetti seguiti, opinioni professionali, etc., sta inconsapevolmente fornendo materiale grezzo per potenziali attacchi mirati.
La nuova frontiera dello spear phishing con l’AI
Partiamo da un fatto. La cosiddetta intelligence open-source o OSINT (Open Source Intelligence), cioè l'analisi di informazioni pubblicamente disponibili, è cambiata radicalmente con la “democratizzazione” dell'AI. Un tempo richiedeva competenze specialistiche e molto, moltissimo tempo; oggi può essere svolta in modo automatizzato grazie all'intelligenza artificiale. Questo abbassa drasticamente la soglia d'ingresso, in quanto non bisogna necessariamente avere team strutturati o risorse avanzate per analizzare grandi quantità di dati: basta avere gli strumenti giusti e saperli usare.
Per dimostrare come l’AI abbia totalmente riscritto le regole del gioco, i ricercatori di TrendAI hanno sviluppato un sistema sperimentale, quello che in gergo viene definito un PoC (Proof of Concept), cioè una dimostrazione pratica di fattibilità, capace di raccogliere dati pubblici da LinkedIn e trasformarli in profili dettagliati da usare a scopi malevoli. Il processo parte da elementi molto comuni: post, immagini e metadati, ovvero tutte quelle informazioni “nascoste” associate ai contenuti, come date, contesto o relazioni tra elementi, che aiutano a interpretare meglio ciò che si vede.
Queste informazioni sono state prima raccolte automaticamente (i ricercatori ci sono riusciti nonostante gli strumenti di anti-scraping di cui è dotato LinkedIn) e poi queste sono state organizzate in una struttura che ha ricostruito un'intera gerarchia aziendale: chi lavora dove, con quale ruolo e con quale livello di responsabilità. Questo passaggio è stato fondamentale, perché ha permesso ai ricercatori di capire non solo chi è una persona, ma anche quanto può influenzare decisioni all’interno dell’azienda.
Un aspetto particolarmente interessante riguarda l'analisi delle immagini. Non si tratta solo di “vedere” cosa c'è in una foto, ma di interpretarla nel contesto del post in cui è stata pubblicata. L'intelligenza artificiale riesce a dedurre il messaggio professionale che l’autore voleva trasmettere, i suoi interessi, gli eventi a cui partecipa e persino la rete di contatti. In altre parole, immagini e testo diventano un’unica fonte informativa molto più ricca rispetto alla somma delle singole parti.
Una volta costruiti questi profili, il sistema può fare un passo ulteriore: identificare i temi che interessano maggiormente ciascun individuo. Questo processo si basa sull’analisi linguistica, cioè lo studio automatico del linguaggio usato nei post, per individuare argomenti ricorrenti e rilevanti. Questi temi diventano la base per creare messaggi altamente personalizzati.
Ed è qui che entra in gioco il cosiddetto spear phishing. A differenza del phishing “tradizionale” – quello basato sull’invio massivo di messaggi generici a utenti random, tanto per intenderci – lo spear phishing è mirato: ogni comunicazione è costruita su misura per una specifica vittima, utilizzando informazioni reali per rendere il tutto quanto più credibile e meno sospettoso possibile. Il sistema analizzato è in grado di generare e-mail che fanno riferimento diretto al ruolo della persona, ai contenuti che ha condiviso e agli eventi a cui ha partecipato.
Non solo: può anche dedurre gli indirizzi e-mail aziendali. Analizzando esempi pubblici, identifica il formato più probabile (come nome.cognome@azienda.com) e genera diverse varianti plausibili. Questo aumenta ulteriormente le probabilità di successo di un attacco.
Il passaggio finale è la creazione di un sito Web falso, progettato per sembrare reale e coerente con gli interessi della vittima. In pochi minuti, l'intelligenza artificiale può costruire una pagina completa, con immagini, statistiche e riferimenti a framework reali del settore. In questo modo viene costruito un ambiente credibile, pensato per convincere l’utente a interagire, ad esempio inserendo credenziali o scaricando contenuti.
Dallo scraping di LinkedIn all’attacco: le truffe in 30 minuti
L'aspetto più inquietante dell’esperimento riguarda le tempistiche dell'attacco. L’intero processo, dalla raccolta dati alla creazione di contenuti di phishing, è stato completato in meno di 30 minuti. Questo cambia completamente la scala del problema: ciò che prima richiedeva ore o giorni di lavoro manuale ora può essere replicato rapidamente e su larga scala. E da una persona soltanto.
Nel commentare l’esperimento, infatti, i ricercatori di TrendAI hanno spiegato:
La creazione del nostro strumento di analisi basato sull'intelligenza artificiale per LinkedIn ha richiesto a un singolo ricercatore poco più di 24 ore di lavoro, utilizzando Claude Code. […] La profilazione dell'intero team dirigenziale di un'azienda, dall'estrazione dei post pubblici da LinkedIn alla generazione di pagine di phishing personalizzate, richiede meno di 30 minuti, e tutto questo con uno strumento PoC (Proof of Concept).
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
