Mimecast combatte contro il phishing alimentato dall'intelligenza artificiale

Per quanto riguarda le difese digitali, sono tempi duri per le organizzazioni di ogni tipo e dimensione. Gli attacchi online da parte di criminali informatici e altri attori malintenzionati stanno diventando sempre più sofisticati e si verificano a un ritmo senza precedenti.

La crescente disponibilità di strumenti tecnologici, tra cui molti potenziati dall'intelligenza artificiale, sta rendendo più facile per gli attori malintenzionati lanciare attacchi altamente personalizzati contro un maggior numero di obiettivi.

E non si tratta solo dei soliti attori sponsorizzati dallo Stato e delle bande criminali d'oltremare. Le aziende, compresi i clienti di Mimecast, devono affrontare anche le minacce provenienti dai loro confini fisici.

L'Agenzia per la Sicurezza delle Infrastrutture Cybersecurity & (CISA), in collaborazione con l'FBI e le autorità del Canada e dell'Australia, ha recentemente pubblicato un avviso congiunto aggiornato sulla sicurezza informatica di "Scattered Spider", un gruppo di criminali informatici internazionali liberamente affiliati che quest'anno ha lanciato attacchi online contro qualsiasi cosa, dai fornitori di negozi di alimentari alle compagnie aeree e assicurative.

Solo nei primi sei mesi di quest'anno, rivenditori come Adidas, Marks & Spencer, Harrods, Cartier, Victoria's Secret e North Face, oltre al principale fornitore di Whole Foods, United Natural Foods, e alla catena di negozi di alimentari con sede nel Regno Unito, Co-Operative Group, sono stati tutti colpiti da cyberattacchi attribuiti a Scattered Spider che hanno influenzato le loro attività.

Le autorità del Regno Unito hanno arrestato quattro presunti membri del gruppo Scattered Spider a luglio. Tuttavia, il CISA avverte che il gruppo e le sue tattiche, che enfatizzano l'ingegneria sociale piuttosto che lo sfruttamento di vulnerabilità tecniche per violare i sistemi aziendali, rappresentano ancora un pericolo.

La sfida per le organizzazioni rimane come difendersi da queste e altre minacce, senza impattare sulla produttività.

Per gli esperti di Mimecast, la risposta sta nel combinare le più recenti informazioni sulle minacce con la gestione del rischio umano, afferma Andrew Williams, Principal Product Marketing Manager dell'azienda.

"Non c'è modo di eliminare il rischio, si può solo gestirlo", ha detto Williams. "Quindi è come possiamo procedere e mettere in atto alcune misure per, diciamo, attutire gli utenti per assicurarci che non facciano cose sbagliate".

La crescente minaccia dell'intelligenza artificiale

Secondo l'FBI, gli aggressori di Scattered Spider sono noti per utilizzare una varietà di varianti di ransomware negli attacchi di estorsione dei dati, tra cui recentemente il ransomware DragonForce.

DragonForce è emerso nel 2023 e utilizza un modello "Ransomware-as-a-Service" (RaaS), il che significa che i criminali informatici senza un grande background tecnico possono acquistarlo online, personalizzarlo e lanciarlo contro qualsiasi obiettivo ritengano opportuno. Inizialmente utilizzato in attacchi a sfondo politico, ora viene utilizzato in campagne di estorsione motivate dal denaro.

Anche se l'FBI afferma che Scattered Spider cambia spesso le sue tattiche, tecniche e procedure per rimanere al di sotto del radar dei difensori, ci sono alcuni tratti distintivi dei suoi attacchi, tra cui l'uso massiccio di tecniche di ingegneria sociale come il phishing, il push bombing e gli attacchi di scambio di SIM. Indipendentemente dal metodo, l'obiettivo è rubare le credenziali dell'account, aggirare le protezioni MFA ed eventualmente installare spyware.

Le affermazioni dell'FBI sono sostenute da una ricerca di Mimecast pubblicata a maggio. Quel rapporto ha annunciato la scoperta di oltre 150.000 campagne di phishing che impersonano fornitori di servizi, tra cui SendGrid, HubSpot, Google e Okta. Le campagne, che secondo i ricercatori erano probabilmente collegate a Scattered Spider, prevedevano notifiche false progettate per indurre gli utenti a consegnare le loro credenziali di accesso. 

Ora, questi metodi di attacco più tradizionali e meno tecnici vengono potenziati con strumenti di intelligenza artificiale che consentono ai criminali informatici di fare tutto questo più velocemente e su scala molto più ampia, ha detto Williams.

I ricercatori di Mimecast hanno iniziato a individuare l'uso dell'AI nelle e-mail di tutti i tipi dopo il rilascio di ChatGPT, ha detto Williams. Ha subito un'impennata dopo il lancio del concorrente cinese DeepSeek all'inizio di quest'anno. Quest'anno, gli avvistamenti di e-mail dannose generate dall'AI hanno già superato di gran lunga il totale del 2024. 

"Quindi è sicuramente molto diffuso e rilevante per quello che fanno gli aggressori", ha detto Williams.

L'ingegneria sociale umana riceve una spinta dall'AI

Gli esperti vi diranno che l'IA, sia che venga utilizzata per scopi di difesa che per scopi malevoli, ha ancora molta strada da fare prima di poter sostituire gli esseri umani. Ma è già diventato uno strumento chiave per gli aggressori.

In particolare, i criminali informatici stanno utilizzando l'AI per creare email di phishing raffinate, professionali e altamente mirate ai loro destinatari. E sta diventando sempre più difficile separare le comunicazioni generate dall'AI da quelle create dagli esseri umani.

Il team di ricerca sulle minacce di Mimecast ha recentemente identificato una campagna di Business Email Compromise (BEC) che utilizza fili di e-mail false automatizzate per commettere frodi sulle fatture su vasta scala. L'aspetto notevole della campagna è che combina l'ingegneria sociale tradizionale basata sull'uomo con nuovi strumenti di intelligenza artificiale che creano conversazioni legittime, ma false, tra dirigenti e aziende esterne.

Le catene di e-mail falsificate includono quelle che sembrano essere comunicazioni commerciali legittime, con ogni thread realizzato per includere la necessità che il CEO o i dirigenti dell'azienda approvino urgentemente i pagamenti delle fatture.

I ricercatori di Mimecast hanno notato che le campagne mostrano chiari segni di automazione, evidenziando l'inclusione di contenuti generati dall'AI, insieme ad allegati PDF generati con la tecnologia del browser headless proprio prima dell'invio delle e-mail. Inoltre, l'analisi tecnica delle campagne ha rivelato diversi segni di distribuzione automatizzata.

Nel frattempo, l'analisi linguistica e strutturale del testo del corpo delle e-mail ha rivelato diversi segni che sono stati generati da Large Language Models (LLM), tra cui un alto livello di fluidità in quella particolare lingua, un contesto appropriato e la mancanza dei soliti errori grammaticali, hanno detto i ricercatori. In breve, erano troppo perfetti per essere stati creati da un essere umano.

I ricercatori hanno evidenziato un caso specifico di una catena di e-mail false generate dall'AI che iniziava con una fattura falsa da quella che sembrava una società di consulenza di terze parti. L'e-mail è stata seguita da una falsa conferma da parte dell'amministratore delegato dell'azienda, che affermava che la stava inoltrando al dipartimento finanziario dell'azienda per il pagamento.

La successiva e-mail falsa nella catena sembrava provenire dalla società di consulenza, dicendo che la fattura non era ancora stata pagata, aggiungendo un tono di urgenza, che è stato poi seguito da un'altra e-mail falsa del CEO che diceva che la fattura sarebbe stata pagata, e infine un'e-mail "AVVISO FINALE ALLA CONTABILITÀ" indirizzata al reparto finanziario dell'azienda.

L'e-mail "Avviso finale" è stata la prima e-mail effettivamente inviata al reparto finanziario dell'azienda, e la catena di montaggio dietro di essa le ha dato l'apparenza della legittimità. L'idea era di ingannare il destinatario facendogli credere di aver perso le e-mail precedenti, per poi farlo andare nel panico e pagare la fattura falsa senza verificarne l'autenticità.

Protezione attraverso la tecnologia e la formazione

La domanda diventa quindi: come possono le aziende proteggersi al meglio da queste minacce crescenti?

Per Mimecast, la soluzione risiede in una combinazione di intelligence delle minacce e gestione del rischio umano, ha detto Williams. Sono due facce della stessa medaglia. Sono diversi, ma lavorano insieme.

L'intelligence sulle minacce fornisce il "cosa" e il "come", ha detto Williams, ossia cosa viene attaccato e come avviene l'attacco. Questo include le particolari tecniche di social engineering utilizzate o le vulnerabilità specifiche che vengono sfruttate.

Gran parte di questa intelligenza proviene dai dati raccolti dai 42.000 clienti di Mimecast e dagli 1,8 miliardi di e-mail che l'azienda analizza ogni giorno, ha detto Williams. In totale, l'azienda ha esaminato e scansionato 90 miliardi di punti di interazione nella seconda metà dello scorso anno. Questo include tutto, dagli eventi DLP ai clic, ai messaggi BEC, alla scoperta dell'AI, agli eventi di esfiltrazione.

"C'è molto che possiamo utilizzare in termini di comprensione di quella che è, in ultima analisi, la catena di attacco dei nostri clienti", ha detto Williams. "E, reciprocamente, qual è l'intuizione che possiamo trarre da questo?".

Allo stesso tempo, la gestione del rischio umano fornisce il "chi" e il "perché", ossia quali persone di un'azienda sono prese di mira e perché lo sono, ha detto. Questo consente ai difensori di mettere in atto misure proattive dove sono più importanti.

Imporre un giro di vite a tutti i dipendenti di una determinata azienda non è un'opzione, perché controlli troppo restrittivi possono bloccare la produttività. E secondo i dati di Mimecast, solo l'8% dei dipendenti è responsabile dell'80% degli incidenti di sicurezza. Quindi, le politiche uniche per tutti non funzionano.

Qui entrano in gioco le politiche adattive di Mimecast. Sono progettati per analizzare in modo proattivo i modelli e individuare i comportamenti a rischio - come cliccare su e-mail di phishing, gestire male i dati sensibili o interagire con il malware - e fornire soluzioni di sicurezza su misura.

Mimecast ha annunciato le sue nuove funzioni di sicurezza adattiva in occasione della conferenza annuale Black Hat a Las Vegas. I controlli AI del sistema sono progettati per regolare automaticamente le misure di sicurezza in base alla valutazione del rischio in tempo reale, ai dati della scienza comportamentale e all'intelligence sulle minacce.

L'idea è quella di garantire livelli di protezione e restrizioni ottimali per gli utenti che ne hanno più bisogno, aiutando le organizzazioni a stare davanti alle minacce e a prevenire la perdita di dati critici, riducendo al contempo i costi.

"I team di sicurezza sono costantemente sotto pressione per fare di più con meno, e questo inizia con un utilizzo più intelligente del loro tempo e dei loro strumenti", ha dichiarato Ranjan Singh, Chief Product & Technology Officer di Mimecast.