Phishing: l'evoluzione del furto dell'identità e del rilevamento basato su Intelligenza Artificiale

Phishing: evoluzione del furto dell’identità e del rilevamento basato su Intelligenza Artificiale

A cura di:Redazione 15 Marzo 202513 Marzo 2025

Oltre 932.000 attacchi di phishing in un solo trimestre. La minaccia è in crescita costante e gli hacker ora utilizzano persino le immagini di Google Street View della tua casa per personalizzare le loro truffe. Scopri come l’intelligenza artificiale sta cambiando le regole del gioco nella protezione della tua identità digitale.

Il Fenomeno del Phishing nel Panorama della Cybersecurity

Nel contesto attuale della sicurezza informatica, il phishing rappresenta una delle minacce più insidiose e pervasive. Questa tecnica di attacco, che prende metaforicamente il nome dall’inglese “fishing” (pescare), consiste nell’indurre gli utenti a rivelare informazioni riservate attraverso comunicazioni fraudolente che imitano fonti attendibili. La crescente sofisticazione di questi attacchi ha reso necessario lo sviluppo di contromisure sempre più avanzate.

Gli attacchi di phishing hanno ormai trasceso la dimensione delle semplici truffe via email, evolvendosi in strategie complesse capaci di eludere anche sistemi di sicurezza sofisticati. Le conseguenze possono essere devastanti: dalle perdite economiche al furto d’identità, dai danni reputazionali alle responsabilità legali. Non è raro che questi attacchi costituiscano il primo anello di una catena più ampia di azioni malevole, inclusi data breach e infezioni ransomware.

L’Anatomia degli Attacchi di Phishing Moderni

Gli attacchi di phishing contemporanei si sono evoluti ben oltre le rudimentali email fraudolente. Oggi assistiamo a forme sofisticate come lo spear phishing (attacchi mirati a specifici individui o organizzazioni), il business email compromise (BEC) che prende di mira figure aziendali chiave, e il pharming che reindirizza il traffico web verso siti malevoli manipolando i sistemi DNS.

Particolarmente preoccupante è l’emergere del voice phishing (vishing) e del social media phishing, che sfruttano rispettivamente le comunicazioni vocali e le piattaforme social per ingannare le vittime. Secondo i dati dell’APWG, nel terzo trimestre del 2024 il vishing ha registrato un aumento di oltre il 28% rispetto al trimestre precedente, mentre lo smishing (phishing via SMS) è cresciuto del 22%. Questi vettori di attacco multipli richiedono approcci di difesa poliedrici e adattivi, capaci di riconoscere pattern sospetti attraverso diversi canali di comunicazione.

Un aspetto cruciale della sofisticazione degli attacchi moderni è l’utilizzo di tecniche di ingegneria sociale sempre più raffinate, basate su informazioni raccolte da fonti pubbliche e violazioni di dati precedenti. Nel terzo trimestre del 2024, l’APWG ha rilevato una nuova allarmante tendenza nelle email di estorsione: i criminali hanno iniziato a includere nei loro messaggi dati personali delle vittime, come numeri di telefono, indirizzi di casa e persino immagini di Google Street View delle abitazioni. Questo livello di personalizzazione è chiaramente progettato per spaventare le vittime e indurle a soddisfare le richieste degli aggressori.

Approcci di Machine Learning per il Rilevamento del Phishing

La ricerca nel campo della cybersecurity ha dimostrato come l’applicazione di tecniche di machine learning e deep learning offra risultati promettenti nel rilevamento del phishing. Numerosi studi concordano sul fatto che l’elemento chiave per l’efficacia di questi approcci risiede nella selezione intelligente delle caratteristiche (feature selection), che consente di ottenere prestazioni elevate con un sottoinsieme ottimizzato di parametri.

Le metodologie più efficaci seguono un percorso strutturato che comprende la raccolta dei dati, la pre-elaborazione, la selezione delle caratteristiche, l’addestramento dei modelli e la loro valutazione. È stato ampiamente dimostrato come non sia necessario utilizzare tutte le caratteristiche disponibili per ottenere risultati eccellenti: analisi comparative hanno evidenziato che spesso un sottoinsieme ben selezionato di caratteristiche può portare a prestazioni comparabili o addirittura superiori rispetto all’utilizzo dell’intero set, con il vantaggio di ridurre significativamente i costi computazionali.

Per la selezione delle caratteristiche, tecniche come l’analisi dell’importanza delle permutazioni hanno dimostrato particolare efficacia. Questo approccio valuta il contributo di ciascuna caratteristica misurando la diminuzione delle prestazioni del modello quando i valori di quella specifica caratteristica vengono casualmente permutati, consentendo di identificare gli elementi realmente determinanti per la classificazione.

Architetture di Deep Learning nel Contesto del Phishing

Nel campo del rilevamento del phishing, diverse architetture di deep learning hanno dimostrato la loro efficacia:

Reti Neurali Feedforward (FNN);

Queste reti hanno mostrato eccellente flessibilità nell’affrontare problemi di classificazione binaria come il rilevamento del phishing. La loro struttura, relativamente semplice ma potente, consente di elaborare le caratteristiche in modo sequenziale, estraendo pattern significativi attraverso strati nascosti con funzioni di attivazione non lineari. Diversi studi hanno evidenziato come le FNN possano raggiungere livelli di accuratezza superiori al 90% con un numero limitato di caratteristiche, rappresentando un eccellente compromesso tra efficacia e complessità computazionale.

Deep Neural Networks (DNN)

Le architetture DNN, caratterizzate da molteplici strati nascosti, hanno dimostrato la capacità di catturare pattern complessi e relazioni non lineari nei dati. L’applicazione di funzioni di attivazione come ReLU (Rectified Linear Unit) consente a queste reti di apprendere rappresentazioni gerarchiche dei dati, particolarmente utili quando le caratteristiche dei siti di phishing presentano interdipendenze complesse.

Modelli Wide and Deep

Combinando approcci di apprendimento superficiale e profondo, questi modelli sfruttano la complementarità delle due metodologie: la componente wide eccelle nella memorizzazione di dettagli specifici, mentre la componente deep cattura pattern complessi e generalizzazioni. Questa architettura ibrida si è dimostrata particolarmente efficace in contesti dove è necessario bilanciare la memorizzazione di caratteristiche specifiche del phishing con la capacità di generalizzare a nuove tipologie di attacco.

Architetture basate su Attenzione

Modelli che implementano meccanismi di attenzione, come TabNet, hanno mostrato risultati promettenti nell’analisi di dati strutturati come quelli utilizzati nel rilevamento del phishing. Questi approcci identificano e focalizzano l’elaborazione sulle caratteristiche più informative, migliorando l’interpretabilità dei modelli e consentendo di comprendere quali elementi influenzano maggiormente la classificazione.

Caratteristiche Determinanti per il Rilevamento

L’analisi delle caratteristiche più efficaci per il rilevamento del phishing ha evidenziato alcuni indicatori particolarmente significativi. La presenza di URL anomali, con domini creati recentemente o con nomi simili a brand noti ma con piccole variazioni (typosquatting), rappresenta un forte segnale di allarme. Anche la struttura dell’URL, inclusi lunghezza eccessiva, presenza di caratteri speciali o sottodomini sospetti, fornisce indizi preziosi.

Altri indicatori rilevanti includono la presenza di certificati SSL/TLS inadeguati o autofirmati, l’utilizzo di redirect multipli, la presenza di form di input per dati sensibili in contesti inusuali, e discrepanze tra il contenuto visualizzato e il codice HTML sottostante. Anche caratteristiche tecniche come l’età del dominio, il posizionamento geografico dei server, e anomalie nei record DNS si sono dimostrate utili nella classificazione.

L’integrazione di queste caratteristiche in modelli di machine learning consente di creare sistemi di rilevamento che vanno ben oltre le semplici blacklist, adattandosi continuamente all’evoluzione delle tecniche di phishing.

Metriche di Valutazione e Ottimizzazione

Un aspetto fondamentale nello sviluppo di sistemi efficaci di rilevamento del phishing è l’adozione di metriche di valutazione appropriate. Oltre all’accuratezza generale, è essenziale considerare il bilanciamento tra falsi positivi e falsi negativi, particolarmente critico in questo dominio: un falso positivo può generare frustrazione nell’utente legittimo, mentre un falso negativo può esporre l’utente a rischi significativi.

Per questo motivo, i ricercatori sviluppano metriche composite che considerano molteplici aspetti delle prestazioni, includendo non solo l’accuratezza ma anche tassi di falsi positivi, tassi di veri positivi e tempo di elaborazione. Quest’ultimo elemento è particolarmente rilevante nelle applicazioni real-time, dove la tempestività del rilevamento gioca un ruolo cruciale.

L’ottimizzazione degli iperparametri attraverso tecniche come la grid search ha dimostrato di poter migliorare significativamente le prestazioni dei modelli. Queste metodologie consentono di identificare la configurazione ottimale per ciascuna architettura, bilanciando efficacia ed efficienza. Numerosi studi hanno evidenziato come modelli adeguatamente ottimizzati possano mantenere elevate prestazioni anche quando applicati a nuovi dataset, dimostrando buone capacità di generalizzazione.

Rilevamento Comportamentale e Analisi Contestuale

Un approccio emergente nel contrasto al phishing è l’analisi comportamentale, che va oltre l’esame statico delle caratteristiche tecniche per considerare il comportamento dell’utente e il contesto dell’interazione. Questi sistemi monitorano pattern di comportamento anomali, come la richiesta inaspettata di credenziali da parte di siti raramente visitati, o interazioni inusuali con elementi dell’interfaccia.

L’analisi contestuale considera fattori come la relazione tra mittente e destinatario, la frequenza delle comunicazioni precedenti, il momento della giornata e il dispositivo utilizzato. Implementando modelli di machine learning che incorporano queste dimensioni comportamentali e contestuali, è possibile identificare attacchi di phishing sofisticati che potrebbero sfuggire all’analisi puramente tecnica.

Particolarmente promettenti sono gli approcci che integrano analisi comportamentale, rilevamento basato su anomalie e tecniche tradizionali di machine learning, creando sistemi di difesa multilivello capaci di adattarsi alle strategie di attacco in evoluzione.

Il Panorama Attuale degli Attacchi di Phishing

Secondo il rapporto dell’APWG (Anti-Phishing Working Group) relativo al terzo trimestre del 2024, sono stati osservati 932.923 attacchi di phishing, in aumento rispetto agli 877.536 del secondo trimestre. Il numero di attacchi mensili si è mantenuto tra 290.000 e 370.000 da giugno 2023. Le piattaforme di social media sono risultate il settore più frequentemente attaccato, rappresentando il 30,5% di tutti gli attacchi di phishing, seguite dai servizi SaaS/webmail (21,2%) e dalle istituzioni finanziarie (13%).

Le truffe basate su carte regalo sono state le più diffuse, costituendo il 40,4% del totale, seguite dalle frodi con pagamento anticipato (29,8%) e dalla diversione delle buste paga (6,6%). Particolarmente preoccupante è l’aumento delle truffe di estorsione che richiedono pagamenti in criptovaluta, passate dallo 0,6% al 2,7% rispetto al trimestre precedente.
Un dato significativo riguarda il Business Email Compromise (BEC), una tecnica di furto d’identità che ha causato perdite per 2,9 miliardi di dollari negli Stati Uniti nel 2023.

L’importo medio richiesto in questi attacchi nel terzo trimestre del 2024 è stato di 67.145 dollari, in calo del 25% rispetto al trimestre precedente. Il 70% degli attacchi BEC è stato lanciato utilizzando un dominio di webmail gratuito, con Gmail utilizzato nell’83,1% dei casi.

Applicazioni Pratiche e Tendenze Future

L’integrazione di tecniche avanzate di machine learning nei sistemi di sicurezza ha portato allo sviluppo di soluzioni pratiche per la protezione degli utenti. Estensioni per browser, filtri email e sistemi di monitoraggio del traffico di rete che implementano questi approcci hanno dimostrato efficacia nel contrastare il phishing in tempo reale, fornendo agli utenti avvisi tempestivi sui potenziali rischi.

Le tendenze future indicano un’evoluzione verso approcci sempre più integrati, che combinano il rilevamento del phishing con altre misure di cybersecurity. Particolare interesse è rivolto all’integrazione con sistemi di rilevamento delle intrusioni di rete (NIDS) e soluzioni di protezione degli endpoint, creando strategie di difesa multilivello. Queste integrazioni consentono di bloccare dinamicamente il traffico malevolo e di migliorare i meccanismi di protezione complessiva.

Un’altra direzione promettente è rappresentata dai sistemi di condivisione delle informazioni sulle minacce in tempo reale, che permettono di aggiornare rapidamente i modelli di rilevamento con informazioni sulle ultime tattiche di phishing, migliorando la capacità di risposta alle minacce emergenti.

La ricerca sta inoltre approfondendo l’impatto potenziale degli attacchi di machine learning avversariale sui sistemi di rilevamento del phishing. Comprendere le possibili vulnerabilità potrebbe portare allo sviluppo di algoritmi più robusti, capaci di mantenere la loro efficacia anche in condizioni avverse.

La Componente Umana: Educazione e Consapevolezza

Nonostante gli avanzamenti tecnologici, la componente umana rimane un elemento critico nella difesa contro il phishing. L’educazione degli utenti e la promozione di una cultura della sicurezza rappresentano complementi essenziali alle soluzioni tecniche. Programmi di formazione efficaci non si limitano a illustrare le caratteristiche generali del phishing, ma simulano attacchi reali per addestrare gli utenti a riconoscere i segnali di allarme in contesti autentici.

Le ricerche hanno dimostrato che approcci di apprendimento basati su microtraining periodici risultano più efficaci rispetto a sessioni formative intensive ma sporadiche. Inoltre, la personalizzazione dell’addestramento in base al ruolo e al livello di rischio dell’utente incrementa significativamente l’efficacia degli interventi formativi.

L’integrazione di feedback immediati nelle soluzioni anti-phishing, che spiegano all’utente perché un determinato contenuto è stato classificato come sospetto, contribuisce a un apprendimento continuo e migliora la consapevolezza generale degli utenti rispetto alle minacce emergenti.

Conclusioni

L’evoluzione delle tecniche di rilevamento del phishing basate su machine learning rappresenta un esempio significativo di come l’intelligenza artificiale possa contribuire concretamente alla cybersecurity. L’applicazione di approcci avanzati di selezione delle caratteristiche, combinata con architetture di deep learning ottimizzate, ha dimostrato di poter migliorare significativamente l’efficacia dei sistemi di protezione.

La capacità di ottenere prestazioni elevate con un sottoinsieme limitato di caratteristiche rappresenta un vantaggio significativo, consentendo implementazioni efficienti anche in contesti con risorse computazionali limitate. Questo aspetto è particolarmente rilevante per dispositivi mobili e embedded, dove i vincoli energetici e di elaborazione sono stringenti.
Di fronte all’evoluzione costante delle tecniche di phishing, evidenziata dai dati dell’APWG che mostrano quasi un milione di attacchi in un solo trimestre, lo sviluppo di approcci adattivi e l’integrazione di diverse tecnologie rappresentano elementi essenziali per una difesa efficace. La combinazione di intelligenza artificiale, analisi comportamentale e consapevolezza degli utenti costituisce la strategia più promettente per mitigare questa persistente minaccia alla sicurezza digitale.

La battaglia contro il phishing richiede un approccio olistico che unisca innovazione tecnologica, collaborazione tra esperti di sicurezza e un impegno continuo nell’educazione degli utenti. Solo attraverso questa sinergia sarà possibile costruire un ecosistema digitale più sicuro e resiliente di fronte alle sfide emergenti della cybersecurity, particolarmente in un contesto dove i criminali stanno adottando tecniche sempre più personalizzate e intimidatorie per colpire le loro vittime.

Condividi sui Social Network:

analista OSINT: ruolo strategico nella sicurezza informatica e intelligence, competenze difensive e offensive per la protezione aziendale attraverso l'analisi di fonti aperte

Analista OSINT: Ruolo, Approcci e sfide nella Cybersecurity

A cura di:Vincenzo Manzo Pubblicato il12 Marzo 202518 Febbraio 2025

L’analisi delle fonti aperte (OSINT) sta diventando sempre più cruciale in un mondo connesso e complesso. Il ruolo dell’analista OSINT è strategico sia in ambito militare sia nella protezione aziendale, essendo coinvolto nella raccolta, analisi e utilizzo di informazioni pubbliche a fini difensivi e offensivi. Questo articolo esplora il contributo di questa figura alla sicurezza…

Comportamento umano e cyber security: prevenzione degli errori involontari, protezione contro insider threat e strategie difensive contro ingegneria sociale e BYOD per prevenire violazioni dei dati nelle organizzazioni.

Il fattore umano negli eventi di cyber security

A cura di:Vito Sinforoso Pubblicato il11 Marzo 202512 Marzo 2025

Questo articolo fa parte di una serie di contenuti intitolata “Le soluzioni di Data Loss Prevention e la normativa in materia di privacy e diritti dei lavoratori” realizzata da Vito Sinforoso. In questo contributo, ci concentreremo su come il comportamento umano possa incidere sulla sicurezza informatica all’interno delle organizzazioni, influenzando potenzialmente il rischio di violazioni…

Analisi approfondita della cybersecurity nelle missioni spaziali: vulnerabilità, minacce e strategie di protezione per la sicurezza delle infrastrutture satellitari

Sicurezza oltre l’Orizzonte: affrontare le sfide della cybersecurity nelle missioni spaziali. Strategie e rischi

A cura di:Flavio Marangi Pubblicato il10 Marzo 202518 Febbraio 2025

Il crescente rischio di utilizzo dei satelliti come mezzi per attacchi deliberati a infrastrutture spaziali evidenzia l’escalation delle minacce cyber in un dominio tradizionalmente considerato immune. Attraverso l’esplorazione delle complesse sfide legate alla protezione delle missioni spaziali dalle minacce cibernetiche, con un focus particolare sugli attacchi satellite-to-satellite, questo articolo analizza il panorama delle minacce emergenti…

Direttiva (UE) 2016/943 - 943 sulla protezione del Know-How e delle informazioni commerciali riservate

Direttiva (UE) 2016/943 sulla protezione del Know-How e delle informazioni commerciali riservate

A cura di:Redazione Pubblicato il9 Marzo 20257 Marzo 2025

La Direttiva (UE) 2016/943 del Parlamento Europeo e del Consiglio, adottata l’8 giugno 2016, rappresenta un passo fondamentale nella protezione del know-how e delle informazioni commerciali riservate all’interno dell’Unione Europea. Questa direttiva mira a uniformare le legislazioni degli Stati membri riguardo alla tutela dei segreti commerciali, garantendo un quadro giuridico coerente ed efficace. Il provvedimento…

architettura di rete 5G che mostra i componenti principali: stazioni base, antenne MIMO, core network e dispositivi utente.

5G: Evoluzione, Architettura e Sicurezza delle Reti Mobili di Nuova Generazione

A cura di:Stefano Savo e Stefano Cangiano Pubblicato il14 Marzo 202514 Marzo 2025

Questo articolo è il primo di una serie dedicata all’esplorazione approfondita della tecnologia 5G e del suo impatto sulla trasformazione digitale della società. In questo primo capitolo, analizziamo l’architettura hardware del 5G, i suoi componenti fondamentali e le innovazioni tecnologiche che promettono di rivoluzionare non solo le comunicazioni personali, ma interi settori industriali. L’Evoluzione delle…

Il processo di machine unlearning che mostra la suddivisione del dataset di training in retain set e forget set, con ciclo iterativo di modificazione dei parametri del modello

Machine Unlearning: Metodologie di Mitigazione

A cura di:Vincenzo Calabrò Pubblicato il13 Marzo 202519 Febbraio 2025

Il machine unlearning emerge come soluzione critica per affrontare le sfide della privacy e della sicurezza nei modelli di machine learning. Questo articolo esplora le metodologie di mitigazione, le tecniche implementative e i criteri di valutazione per rimuovere efficacemente dati specifici dai modelli addestrati, senza necessità di riaddestramento completo. Vengono analizzati gli scenari di applicazione,…

Phishing: evoluzione del furto dell’identità e del rilevamento basato su Intelligenza Artificiale

Il Fenomeno del Phishing nel Panorama della Cybersecurity

L’Anatomia degli Attacchi di Phishing Moderni

Approcci di Machine Learning per il Rilevamento del Phishing