Human Risk Roundup: I truffatori usano l'AI per imitare Marco Rubio

Questa edizione di Human Risk Roundup include truffe di impersonificazione guidate dall'AI che prendono di mira funzionari di alto livello, sofisticate violazioni di sistemi di terzi e attacchi ibridi fisico-digitali. Questi incidenti sottolineano l'urgente necessità per i leader della sicurezza di adottare difese a più livelli, migliorare la formazione dei dipendenti e rimanere al passo con le minacce emergenti. Scopra quattro casi recenti che evidenziano le diverse tattiche utilizzate dai criminali informatici, oltre a spunti di riflessione per rafforzare la sua organizzazione contro questi rischi.

L'impostore utilizza l'AI per impersonare Rubio e contattare funzionari stranieri e statunitensi.

Il Dipartimento di Stato ha avvertito i diplomatici statunitensi dei tentativi di impersonificazione guidati dall'AI che hanno preso di mira il Segretario di Stato Marco Rubio e altri funzionari, con truffatori che utilizzano messaggi di testo, di segnale e vocali generati dall'AI per contattare ministri stranieri e funzionari statunitensi. Sebbene le bufale siano state ritenute non sofisticate, questi incidenti evidenziano le crescenti preoccupazioni per l'uso improprio dell'AI a scopo di inganno, spingendo a chiedere una maggiore sicurezza informatica e un'alfabetizzazione mediatica.

Cosa è successo

Il Dipartimento di Stato ha allertato i diplomatici statunitensi sui tentativi di impersonare il Segretario di Stato Marco Rubio e altri funzionari utilizzando messaggi di testo e vocali generati dall'AI. I truffatori hanno preso di mira ministri stranieri, un senatore degli Stati Uniti e un governatore attraverso piattaforme come Signal e la segreteria telefonica, anche se gli scherzi sono stati descritti come poco sofisticati. 

L'FBI ha anche messo in guardia da campagne malevole che coinvolgono imitazioni generate dall'AI di alti funzionari statunitensi. Non è la prima volta che Rubio viene preso di mira, poiché un precedente video deepfake gli attribuiva falsamente dichiarazioni controverse. La crescente diffusione delle truffe guidate dall'AI ha suscitato discussioni sulle soluzioni, tra cui le sanzioni penali, il miglioramento dell'alfabetizzazione mediatica e lo sviluppo di strumenti per individuare i deepfakes.

Perché è importante

Questi incidenti sono una preoccupazione cruciale per i professionisti della cybersecurity. L'uso dell'intelligenza artificiale avanzata per imitare funzionari di alto livello dimostra come gli attori malintenzionati possano sfruttare la tecnologia per ingannare e manipolare gli obiettivi. Tali incidenti sottolineano la necessità di misure di cybersecurity solide per proteggere le comunicazioni sensibili e impedire l'accesso non autorizzato alle informazioni. 

La crescente sofisticazione dei deepfakes e dei messaggi vocali generati dall'AI pone delle sfide nell'identificazione e nella mitigazione di queste minacce. Per i dipendenti della cybersecurity, questo sottolinea l'importanza di essere all'avanguardia nella corsa agli armamenti "" tra gli strumenti di AI utilizzati per l'inganno e quelli progettati per il rilevamento. Chiede inoltre strategie proattive, come il miglioramento dell'alfabetizzazione mediatica, l'implementazione di protocolli di sicurezza più severi e lo sviluppo di strumenti avanzati per identificare e contrastare le truffe guidate dall'AI.

4 consigli pratici per i leader della sicurezza

1. Migliorare la formazione sulle minacce dell'AI, compreso il modo di identificare i deepfakes e le comunicazioni sospette.
2. Rafforzare i protocolli di verifica, come l'autenticazione a più fattori e i canali di comunicazione sicuri.
3. Investire in strumenti di rilevamento dei deepfake, come sistemi avanzati di intelligenza artificiale progettati per rilevare e contrastare i deepfake.
4. Collaborare agli standard di cybersicurezza con le agenzie governative, le aziende tecnologiche e i colleghi del settore.

Per saperne di più su questa minaccia.  

Allianz Life subisce una violazione del CRM di terzi che interessa 1,4 milioni di persone.

Allianz Life Insurance Company of North America ha subito una violazione dei dati che ha interessato la maggior parte dei suoi 1,4 milioni di clienti, a causa di un attacco di social engineering su un sistema CRM di terze parti basato sul cloud. La violazione ha esposto i dati sensibili dei clienti.

Cosa è successo

Il 16 luglio 2025, Allianz Life Insurance Company of North America ha subito una violazione dei dati quando gli hacker hanno utilizzato tecniche di social engineering per compromettere un sistema CRM di terze parti basato su cloud. Questa violazione ha esposto dati sensibili appartenenti alla maggior parte dei suoi 1,4 milioni di clienti, tra cui professionisti finanziari e dipendenti. 

Allianz SE, la società madre, ha confermato che la violazione era limitata alla sua filiale nordamericana e non riguardava le sue operazioni globali. I sistemi interni, come la piattaforma di amministrazione delle polizze, sono rimasti sicuri e l'azienda ha prontamente informato l'FBI e le persone interessate. Allianz ha offerto servizi di monitoraggio del credito e dell'identità alle persone colpite dalla violazione.

Perché è importante 

Questo incidente dimostra l'importanza cruciale di proteggere i sistemi di terze parti, in quanto spesso sono l'anello più debole nelle difese di cybersecurity di un'organizzazione. Gli attacchi di ingegneria sociale, come quello utilizzato in questa violazione, dimostrano come gli aggressori sfruttino le vulnerabilità umane per ottenere un accesso non autorizzato. La violazione sottolinea anche la necessità di solide pratiche di gestione del rischio dei fornitori, in quanto le piattaforme di terze parti possono servire come punti di ingresso per gli aggressori per accedere ai dati sensibili. 

L'incidente illustra anche la crescente complessità degli attacchi alla catena di approvvigionamento, che possono compromettere più organizzazioni attraverso una single vulnerabilità. Infine, sottolinea l'importanza di una comunicazione e di un supporto proattivo per le persone colpite, al fine di mitigare l'impatto a lungo termine di tali violazioni.

4 consigli pratici per i leader della sicurezza

1. Rafforzare la gestione del rischio di terzi per valutare e monitorare le pratiche di sicurezza dei fornitori terzi, in particolare quelli che gestiscono i dati sensibili dei clienti.
2. Migliorare la consapevolezza dell'ingegneria sociale per i dipendenti e i partner, per riconoscere e rispondere alle tattiche di ingegneria sociale.
3. Implementare controlli di accesso solidi, come l'autenticazione a più fattori, e limitare l'accesso ai sistemi critici.
4. Preparare piani di risposta agli incidenti per contenere rapidamente le violazioni e comunicare efficacemente con gli stakeholder.

Per saperne di più su questa minaccia.  

Scattered Spider sta prendendo di mira l'archiviazione dei dati Snowflake delle vittime per un'esfiltrazione rapida

Il gruppo di criminali informatici Scattered Spider sta prendendo di mira i sistemi di archiviazione dati Snowflake delle organizzazioni, spacciandosi per help desk IT per ottenere le credenziali di accesso ed esfiltrare i dati. Nonostante i recenti arresti, il gruppo continua ad evolvere le sue tattiche di social engineering, ponendo sfide significative alle difese di cybersecurity.

Cosa è successo

Scattered Spider, un gruppo di hacker liberamente affiliato, ha preso di mira i sistemi di archiviazione dati Snowflake delle organizzazioni per rubare grandi volumi di dati. Ottengono l'accesso spacciandosi per help desk IT e utilizzando tattiche di social engineering per indurre i dipendenti a fornire le credenziali. 

Il gruppo è stato osservato anche utilizzare strumenti di accesso remoto come AnyDesk e distribuire malware per mantenere l'accesso e condurre la ricognizione. Le recenti campagne hanno sconvolto settori come la vendita al dettaglio, le assicurazioni e le compagnie aeree, causando significative sfide operative e di sicurezza. Nonostante l'arresto di alcuni membri, il gruppo è ancora attivo, sfruttando tecniche di spearphishing e vishing per colpire account di alto valore. 

Perché è importante 

Prendendo di mira gli help desk IT e sfruttando lo spearphishing, questo gruppo sfrutta le vulnerabilità umane. L'uso di strumenti di accesso remoto e di malware complica ulteriormente gli sforzi di rilevamento e risposta, richiedendo capacità avanzate di caccia alle minacce. Per gli addetti alla cybersecurity, gli attacchi sottolineano l'importanza del monitoraggio proattivo, della formazione dei dipendenti e delle difese a più livelli per mitigare i rischi.

4 consigli pratici per i leader della sicurezza

1. Migliorare la formazione dei dipendenti per riconoscere e rispondere alle tattiche di social engineering come il phishing e il vishing.
2. Implementare l'MFA, in particolare per coloro che hanno accesso a sistemi critici come Snowflake.
3. Monitorare le attività sospette, come l'uso improprio di account non autorizzati, i login rischiosi e gli schemi di accesso insoliti.
4. Proteggere l'accesso di terzi ai sistemi sensibili, assicurando che le credenziali siano gestite in modo sicuro e aggiornate frequentemente.

Per saperne di più su questa minaccia.  

Gli hacker hanno collegato Raspberry Pi al bancomat nel tentativo di rapina in banca

Gli hacker del gruppo di criminalità informatica UNC2891 hanno tentato una rapina in banca nella regione Asia-Pacifico, installando fisicamente un Raspberry Pi abilitato a 4G su uno switch di rete collegato a un bancomat, consentendo l'accesso remoto ai sistemi interni della banca. Sebbene il loro sofisticato attacco, che includeva tattiche anti-forensi e malware personalizzato, sia stato sventato, il gruppo ha dimostrato una competenza tecnica avanzata e la persistenza nell'aggirare le misure di sicurezza tradizionali.

Cosa è successo

Questo dispositivo ha permesso agli hacker di aggirare le difese perimetrali e di ottenere l'accesso remoto ai sistemi IT interni della banca. Hanno utilizzato tecniche anti-forensi avanzate, come i bind mount di Linux, per nascondere le loro attività e mantenere un movimento laterale furtivo all'interno della rete. Gli aggressori miravano a manipolare i server di commutazione degli ATM per consentire prelievi di contanti non autorizzati. 

Nonostante i loro sforzi, l'attacco è stato rilevato e fermato prima che potessero eseguire il loro piano. Tuttavia, gli aggressori hanno mantenuto la persistenza attraverso una backdoor sul server di posta della banca, evidenziando le difficoltà di espulsione completa dalla rete.

Perché è importante

Questo incidente sottolinea come i criminali informatici stiano combinando l'accesso fisico con tecniche digitali avanzate per violare le reti. L'uso di hardware economico e non disponibile, come Raspberry Pi, dimostra come gli strumenti a basso costo possano essere utilizzati come armi per attacchi ad alto rischio. L'uso da parte degli aggressori di metodi anti-forensi e di malware personalizzati rivela la crescente sofisticazione delle minacce informatiche, che richiedono capacità di rilevamento e risposta avanzate. 

L'accesso persistente attraverso le backdoor sottolinea la necessità di un'accurata risposta agli incidenti e di un'analisi post violazione. Per il personale addetto alla cybersecurity, questo caso serve a ricordare di adottare una strategia di difesa a più livelli che affronti le vulnerabilità sia fisiche che digitali.

4 consigli pratici per i leader della sicurezza

1. Proteggere i punti di accesso fisici per le infrastrutture critiche, come gli ATM e gli switch di rete, per impedire l'installazione di dispositivi non autorizzati.
2. Monitorare l'attività di rete insolita per rilevare le anomalie, come dispositivi inaspettati o modelli di traffico insoliti.
3. Migliorare i piani di risposta agli incidenti per identificare e rimuovere rapidamente le backdoor o altre minacce persistenti dopo un attacco.
4. Educare il personale e i partner a riconoscere e segnalare le attività sospette, compresa la manomissione fisica dei dispositivi.

Per saperne di più su questa minaccia.