L’evoluzione del phishing non conosce sosta e occorre riconoscere che i criminal hacker sono sempre un passo avanti. Per ricucire questo gap sono necessari due aspetti differenti per entità e complessità.

Il primo è la formazione degli utenti, necessaria ma complessa da somministrare per ragioni diverse, tra le quali la volontà delle aziende di investire in questa direzione.

Il secondo aspetto, prettamente tecnologico, ha molto a che fare con il graduale abbandono dell’idea di perimetro aziendale in favore di confini molto liquidi che possono essere sorvegliati soltanto da sistemi di Intelligenza artificiale (IA) e, quindi, di machine learning e di deep learning.

Vale quindi la pena capire come valutare sistemi di questo tipo e su quali fare affidamento a seconda del contesto d’uso.

L’evoluzione del phishing

Sull’ evoluzione del phishing si possono versare fiumi di inchiostro. Gli episodi celebri sono una moltitudine (qui ne abbiamo raccontati diversi) ma ciò che più conta è la capacità dei criminal hacker di alzare l’asticella della complessità.

Con il passare del tempo le persone hanno imparato a riconoscere le trappole più diffuse e, grazie anche al miglioramento degli strumenti di difesa – tra questi anche i comuni antivirus – i criminali hanno cominciato a sfruttare – dissimulandoli a proprio vantaggio – i nomi di istituti e istituzioni affidabili, tra i quali l’Agenzia delle entrate, l’Inps e altri ancora, riuscendo persino a usare la Posta elettronica certificata (Pec) per diffondere campagne di phishing.

Offensive che si fanno sempre più repentine e veloci, come quelle che hanno sfruttato il decesso del Pontefice.

Per continuare con gli esempi, il kit di phishing SessionShark riesce a bypassare l’autenticazione a più fattori di Office 365. (L’ autenticazione a più fattori continua a essere essenziale per la cyber difesa).

Oltre a puntare sul crescente grado di sofisticatezza, il cyber crimine ha sferrato un numero di attacchi sempre maggiore tant’è che, nel corso del 2024, se ne sono contati il triplo rispetto al 2023.

Le autorità lanciano e rilanciano allarmi per sensibilizzare organizzazioni e opinione pubblica, non fa eccezione l’FBI che partecipa attivamente alle campagne di informazione.

Tutto ciò lascia comprendere quanto il phishing sia una minaccia reale e quanto sia inopportuno credere che qualcuno – cittadini e aziende – ne sia immune.

Gli attacchi più moderni di phishing richiedono sistemi difensivi sempre più evoluti perché, oltre a esporre le vittime alle perdite di dati, alle responsabilità legali e ai danni economico-reputazionali, sono anche il chiavistello con cui gli hacker entrano nelle infrastrutture IT aziendali per poi perpetrare attacchi ancora più mirati e letali.

Davanti a simili rischi le difese tradizionali non sono più sufficienti. Poiché i criminal hacker fanno leva sulle Intelligenze artificiali per sferrare attacchi sempre più temibili, usare le IA per rispondere alle offensive è una strategia piena di senso che, tra le altre cose, contribuisce a smorzare gli allarmismi e le isterie.

I vettori di attacco

Pressoché finita l’epoca in cui gli attacchi phishing venivano sferrati quasi esclusivamente via email, il cyber crimine ha sperimentato e attuato nuove modalità offensive, sempre più difficili da individuare e sempre più mirate.

Tra queste vanno citati gli attacchi BEC (Business email compromise) che, pure usando la posta elettronica, danno vita ad attacchi più specifici che mirano ai ruoli apicali delle imprese, tipicamente manager di alto livello.

Con il voice phishing, noto con il nome di vishing, i criminali raggiungono le vittime al telefono (o con messaggi vocali) chiedendo loro informazioni sensibili mirate a scongiurare un problema imminente come, per esempio, il blocco di un conto corrente o di un servizio aziendale fondamentale.

Anche gli sms e le comunicazioni via messaggistica istantanea rientrano nelle tipologie di attacco, si tratta dello smishing che si prefigge sempre lo scopo di entrare in possesso di informazioni private grazie alle quali i criminal hacker guadagnano l’accesso a servizi finanziari oppure ai sistemi aziendali.

La cyber difesa e le Intelligenze artificiali

Un tema vasto che necessita di essere segmentato, in questo caso ci limitiamo a valutare le tecnologie IA utili a contrastare il phishing anche se, non di rado, le medesime tecnologie giovano anche ad altri tipi di attacchi.

Le funzioni delle IA sono reclutate dal cyber crimine e – di conseguenza – non possono essere ignorate da chi deve difendere.

In senso generale è importante sottolineare che una buona difesa demandata alle IA deve operare affinché:

• Raccolga dati per il modello
• Addestri il modello in modo continuo
• Valuti le minacce potenziali e avvii le procedure di risposta laddove necessario.

L’incident response non è fine a sé stesso, non basta avere una soluzione IA al proprio servizio, occorrono anche profili professionali preparati in grado di reagire in modo corretto a seconda del tipo di attacco.

La difesa non può essere assegnata soltanto all’operatore umano né soltanto alle IA. La via da percorrere è quella della collaborazione.

Il machine learning e il deep learning contro il phishing

Quando si sceglie una soluzione IA per la cyber difesa è necessario prendersi il tempo per capire come funziona, contando anche sulla collaborazione dei fornitori.

Il machine learning è deputato a imparare dai dati al fine di migliorare le prestazioni con il passare del tempo. È quindi importante sapere quali modelli vengono utilizzati e in che modo e con quale continuità vengono addestrati. Questo perché gli attaccanti cambiano strategie in modo repentino, è opportuno che il modello di machine learning sia altrettanto elastico.

È opportuno dare priorità ai sistemi che seguono le modalità di addestramento supervisionato e non supervisionato. La prima si basa su esempi noti appoggiandosi a dataset che hanno già riconosciuto ciò che è phishing e ciò che non lo è, la seconda cerca anomalie con l’obiettivo di scoprire nuovi tipi di attacchi.

I sistemi di apprendimento per rinforzo con feedback umano, ossia la facoltà di un modello di imparare sulla scorta delle segnalazioni degli utenti (della quale abbiamo parlato qui) non sono da scartare a priori, vanno però indagati a fondo per capire quali entità partecipano all’apprendimento. Per principio sono attualmente più adatti ai contesti aziendali nei quali vigono elevate conoscenze cyber.

Sul fronte del deep learning, le tecnologie per contrastare il phishing sono una moltitudine, vanno però suddivise in base al contesto.

Ci sono molti studi che approfondiscono l’uso del deep learning nel campo della cyber difesa. Un territorio fertile ed effervescente nel quale i ricercatori si muovono con una certa celerità. A titolo di esempio proponiamo due ricerche. La prima, a cui hanno lavorato esperti di quattro diversi atenei, valuta l’uso delle reti neurali convoluzionali per riconoscere gli URL di phishing.

La seconda ricerca, condotta da specialisti del Jožef Stefan Institute (Slovenia) sulla scorta di 2.395 altri studi, tende a identificare quali tecnologie sono più adatte a contrastare le diverse minacce, tracciando anche quelli che, per il momento, sono i possibili usi futuri.

Ciò che si evince dai diversi studi può essere riassunto in modo abbastanza ovvio: per rilevare gli attacchi di phishing le tecnologie migliori variano a seconda del tipo di dato esaminare, sia questo il testo delle email, intere pagine web, immagini oppure URL.

Le IA per riconoscere il phishing

Partiamo dalle Reti neurali ricorrenti, soprattutto quelle di tipo Long short-term memory (LSTM) la cui architettura e le cui funzioni sono adatte ad analizzare il testo, alla ricerca delle configurazioni linguistiche tipiche del phishing e sono quindi utili per intercettare email malevole.

L’analisi degli URL è materia delle Reti neurali convoluzionali, che si dimostrano molto utili nel riconoscere “caratteri esotici” negli URL (per esempio un carattere cirillico del tutto simile a una lettera del nostro alfabeto) oppure obfuscation.

Le pagine web e gli screenshot sono materia dei Vision Transformer in grado, per esempio, di confrontare le pagine originali con quelle contraffate. La ricerca in questo ambito fa passi avanti, come testimonia questa ricerca del 2020.

Esistono soluzioni basate su Multi-input Neural Networks (i cosiddetti Hybrid models) che si destreggiano in più discipline.

Conclusioni

Quando si sceglie una soluzione IA per la cybersecurity è necessario valutare il contesto nel quale verrà usata. Non basta sceglierne una o più d’una in tutta fretta, magari per colmare dei gap difensivi oppure spinti dalla necessità di adeguarsi alle normative vigenti (NIS2 su tutte).

L’atteggiamento costruttivo è quello di sedersi con i diversi fornitori e individuare ciò che è realmente utile e adatto all’organizzazione.