I primi attacchi di phishing tramite e-mail si sono verificati all’inizio degli anni Novanta contro gli utenti di AOL e di altri servizi online. Adesso il phishing è una minaccia a livello globale. Tuttavia, l’intelligenza artificiale (AI) può essere un valido strumento di difesa.
Le e-mail di phishing riempiono le caselle di posta delle aziende, costituendo un pericolo sempre presente. Un sondaggio di Ivanti, che ha coinvolto oltre 1.000 professionisti IT, ha rilevato che quasi tre quarti delle imprese sono state vittime di un attacco di phishing l’anno scorso e il 40% l’ha subito nell’ultimo mese. Inoltre, quattro intervistati su cinque hanno riscontrato un aumento di e-mail fraudolente.
Gli attacchi di phishing sono più difficili da individuare
La minaccia del phishing è in aumento ed è difficile da rilevare, poiché i cybercriminali sono più abili nell’utilizzare tecniche efficaci. Il sondaggio ha rivelato che per l’85% degli intervistati gli attacchi sono più sofisticati, ostacolando l’adozione di un modello di lavoro ibrido, in cui la protezione e la visibilità della rete e dei device sono più complesse.
Una tecnica di phishing è la registrazione in massa di domini. Solitamente le aziende conservano elenchi di domini sospetti, usati in campagne di phishing, e li confrontano con le e-mail in arrivo, bloccando quelle che contengono un dominio presente nella lista. Tuttavia, alcuni cybercriminali sono ora in grado di evitare il rilevamento, utilizzando servizi cloud pubblici con domini legittimi per ospitare i loro siti di phishing. Altri, invece, registrano domini in massa a basso costo sfruttando provider di servizi all’ingrosso.
In particolare, i domini registrati in massa sono usa e getta e ciò consente agli aggressori di modificarli con rapidità prima che vengano inseriti in una lista di blocco. Inoltre, poiché i domini sono diversificati, ciascuno di essi raggiunge un numero minore di persone, il che rende difficile individuarli per un’azienda che si occupa di sicurezza.
Un’altra tecnica comune è lo “spear phishing”. A differenza degli attaccanti che inviano in massa e-mail di phishing cercando di catturare un alto numero di vittime, gli “spear-phisher” colpiscono in maniera mirata e più efficace obiettivi più importanti per ottenere profitto dal furto di credenziali, dalla compromissione di e-mail aziendali o dalla diffusione di infezioni ransomware.
Gli strumenti anti-phishing devono pertanto essere efficaci nel bloccare tutte le e-mail fraudolente, poiché è sufficiente una singola infezione da ransomware generata da un solo attacco per ottenere il controllo di un’intera azienda.
L’AI come strumento di difesa
È necessario disporre di una tecnologia capace di contrastare questa minaccia e l’intelligenza artificiale rappresenta una valida soluzione. A differenza del software tradizionale, che segue istruzioni specifiche e applica regole predefinite per cercare le e-mail di phishing, non rilevando quelle ancora sconosciute, l’intelligenza artificiale non segue nessuna regola.
In particolare, il Machine Learning (ML), quando viene in contatto con nuovi dati, è in grado di prendere decisioni confrontando questi ultimi con quelli presenti nel modello statistico, fornendo soluzioni. Tale sistema, dunque, esamina e classifica migliaia di dati, quali ad esempio transazioni con carta di credito o e-mail, con maggiore velocità rispetto agli operatori umani.
L’efficacia di AI e ML
L’intelligenza artificiale non richiede una corrispondenza esatta per rilevare un eventuale pericolo. Difatti, un cybercriminale potrebbe modificare il codice HTML di un’e-mail, rendendo difficile per uno scanner di phishing identificarla come dannosa. Al contrario, un sistema di Machine Learning che ha esaminato molte e-mail fraudolente sarà in grado di individuarla come un problema.
Ogni e-mail, oltre al messaggio che contiene, ha delle informazioni ulteriori che la definiscono in modo preciso: si tratta di metadati, come ad esempio il suo dominio di provenienza, il destinatario e altre persone dell’azienda a cui è stata inviata.
In aggiunta, l’intelligenza artificiale può determinare il livello di minaccia delle e-mail, confrontandole con un modello comportamentale e chiedendosi, per esempio, se il dipendente abbia mai ricevuto un’e-mail da quel dominio prima, se sia normale ricevere corrispondenza a quell’ora del giorno da quel Paese, se quel mittente abbia mai preso di mira più persone dell’azienda contemporaneamente. Tuttavia, nonostante il Machine Learning sia prezioso come mezzo di difesa, anche i cybercriminali possono sfruttarlo per scrivere e-mail di spear phishing efficaci.
Il valore di Data Science
Durante la pandemia, AI e ML sono stati fondamentali per i dipartimenti IT. Pertanto, le aziende, oltre ad investire sulla formazione concernente la sicurezza, dovrebbero anche sfruttare l’automazione avanzata, l’intelligenza artificiale e le tecnologie di Machine Learning, individuando e neutralizzando in modo rapido ed efficiente le minacce di phishing. I Chief Information Security Officer (CISO) sono consapevoli che la capacità umana non è sufficiente per contrastare l’azione dei cybercriminali. Un approccio alla sicurezza completo e “always-on” capace di rilevare e prevenire questo tipo di minacce, senza precludere l’attività dei dipendenti, dovrebbe essere una priorità per ogni CISO nel prossimo anno.