Un tempo gli attacchi di ingegneria sociale richiedevano un grande dispendio di tempo e di energie.

Gli hacker facevano ricerche sui loro bersagli, scrivevano a mano le email di phishing e si spacciavano con cura per persone o organizzazioni affidabili. C’era un limite a quello che potevano realisticamente fare contemporaneamente e, di conseguenza, anche a quanti bersagli potevano realisticamente attaccare alla volta.

L’intelligenza artificiale ha cambiato completamente le cose. Ciò che prima richiedeva ore ora si fa in pochi secondi. Gli hacker possono generare all’istante email di phishing molto convincenti, estrarre informazioni personali da fonti pubbliche e personalizzare i messaggi per persone specifiche su larga scala.

L’ingegneria sociale è diventata più veloce, più economica e molto più convincente.

Questo crea un grave problema per le organizzazioni, perché questi attacchi non si basano più su errori evidenti o truffe generiche. Sono progettati per sembrare autentici, familiari e difficili da mettere in discussione.

Perché l’intelligenza artificiale rende l’ingegneria sociale ancora più pericolosa

Gli attacchi di phishing tradizionali spesso si tradivano da soli.

Errori ortografici, un linguaggio goffo, una formattazione sospetta e saluti generici li rendevano più facili da individuare. I dipendenti sapevano cosa cercare perché i segnali di allarme erano evidenti.

L’intelligenza artificiale elimina molti di questi indizi. Gli hacker ora possono creare comunicazioni curate e professionali che suonano naturali e credibili, con messaggi in grado di riprodurre il tono di voce di un collega, fare riferimento a progetti reali e sembrare personalmente rilevanti per chi li riceve. Questo rende le persone molto più propense a fidarsi di ciò che vedono.

Un’e-mail che sembra provenire dal tuo responsabile, un messaggio su Teams che sembra arrivare dalle Risorse Umane o una richiesta che sembra urgente e di routine allo stesso tempo. Questi attacchi sono pensati per ridurre i sospetti e spingerti a prendere decisioni affrettate.

L’ascesa dei deepfake e dell’identità sintetica

La tecnologia deepfake sta portando l’ingegneria sociale a un livello superiore.

Gli strumenti per la clonazione della voce e la creazione di video generati dall’intelligenza artificiale stanno diventando sempre più accessibili, offrendo agli hacker nuovi modi per spacciarsi per persone di fiducia. Le finte chiamate da parte di dirigenti e i messaggi video manipolati vengono già utilizzati in tentativi di frode e truffe finanziarie.

La cosa preoccupante è quanto questa tecnologia sia ormai credibile.

I dipendenti sono abituati a fidarsi di volti e voci familiari, ma quando qualcuno ha la voce di un dirigente di alto livello o appare sullo schermo con un’aria autentica, le persone reagiscono istintivamente in modo diverso.

In ambienti di lavoro frenetici, dove le decisioni vanno prese in fretta, non sempre viene spontaneo fermarsi a chiedersi se una voce o un video siano autentici. Ed è proprio su questo che fanno affidamento gli hacker.

Perché il comportamento umano rimane l’obiettivo principale

L’intelligenza artificiale potrà anche essere alla base di questi attacchi, ma le persone rimangono comunque il vero obiettivo.

Chi attacca sa bene come si comportano i dipendenti sotto pressione. Sa che le persone reagiscono subito all’autorità, all’urgenza e agli stili di comunicazione a cui sono abituati. Sa anche che i dipendenti indaffarati tendono ad agire prima e a fare domande dopo.

L’intelligenza artificiale li aiuta a sfruttare questi comportamenti più velocemente e su scala molto più ampia. Ecco perché l’ingegneria sociale continua a funzionare così bene. Aggira i controlli tecnici convincendo le persone a fornire volontariamente informazioni, credenziali o accessi e, man mano che le comunicazioni generate dall’intelligenza artificiale diventano più convincenti, la differenza tra interazioni legittime e dannose diventa sempre più difficile da individuare.

Perché i vecchi approcci alla formazione sulla sicurezza non funzionano più

Molti corsi di formazione sulla sensibilizzazione sono stati pensati per un diverso tipo di attacco di phishing. Ai dipendenti è stato insegnato a riconoscere segnali di allarme evidenti come errori ortografici, formattazione strana e link sospetti. Ma gli attacchi generati dall’IA ormai non sono più così.

Le e-mail di phishing di oggi sono ben fatte, credibili e personalizzate. Gli hacker riescono a imitare lo stile di comunicazione e a creare messaggi che sembrano così autentici da eludere l’istinto delle persone, il che rende la sfida ancora più difficile per i dipendenti.

Gli attacchi di oggi sono più difficili da individuare perché sembrano ben fatti e legittimi; per individuarli, bisogna quindi prestare attenzione a quando qualcosa sembra strano, affrettato o leggermente fuori dal normale, il che richiede buon senso ed esperienza con scenari realistici.

I dipendenti hanno bisogno di una formazione che rispecchi gli attacchi che si trovano effettivamente ad affrontare. Devono vedere come funziona la manipolazione nella pratica e capire quanto velocemente la pressione e l’urgenza influenzino il processo decisionale.

È proprio qui che la formazione sulla sensibilizzazione basata su storie concrete fa davvero la differenza.

Cyber Police utilizza una narrazione realistica e scenari informatici simulati per mostrare come si svolgono gli attacchi moderni, comprese le tecniche di pressione e manipolazione che gli hacker usano per influenzare il comportamento. Vedere queste situazioni svolgersi nel loro contesto aiuta i dipendenti a riconoscere segnali di allarme simili nel proprio ambiente di lavoro e a reagire con maggiore sicurezza quando qualcosa sembra non andare per il verso giusto.

L’intelligenza artificiale sta aumentando il numero di attacchi

L’intelligenza artificiale sta inoltre rendendo più facile ampliare la portata degli attacchi di ingegneria sociale. Gli hacker possono generare email di phishing in pochi secondi, individuare automaticamente i bersagli e personalizzare i messaggi molto più velocemente di prima. Questo significa che le organizzazioni si trovano ad affrontare un numero maggiore di attacchi su un numero maggiore di canali di comunicazione.

Per i team di sicurezza, questo rappresenta una sfida. C’è già un’enorme quantità di attività da monitorare ogni giorno, e l’aumento del numero di attacchi rende più difficile identificare rapidamente i comportamenti davvero pericolosi.

Anche i dipendenti devono affrontare la stessa pressione. E-mail, messaggi su Teams, strumenti di collaborazione, SMS, videochiamate. La comunicazione non si ferma mai, e chi attacca sa bene che le persone sono più inclini a commettere errori quando sono distratte o devono agire in fretta.

Ecco perché i corsi di sensibilizzazione devono risultare pratici e attinenti alla vita lavorativa reale.

L’aspetto psicologico degli attacchi basati sull’intelligenza artificiale

L’ingegneria sociale basata sull’intelligenza artificiale funziona perché fa leva sui normali comportamenti umani. È naturale che le persone si fidino dei nomi che conoscono e reagiscano alle situazioni di urgenza, soprattutto al lavoro. Vogliono rendersi utili ed evitare di rallentare il lavoro.

Gli hacker lo sanno bene e l’intelligenza artificiale li aiuta a sfruttare questi comportamenti. Ecco perché le aziende devono andare oltre i semplici controlli tecnici. I dipendenti devono sentirsi sicuri nel rallentare il ritmo quando qualcosa non quadra e nel verificare le informazioni prima di reagire. Senza questa sicurezza, diventa molto più difficile fermare gli attacchi più convincenti.

Perché le organizzazioni devono ripensare la formazione sulla sicurezza informatica

L’aumento degli attacchi basati sull’intelligenza artificiale sta costringendo le organizzazioni a ripensare il proprio approccio alla sensibilizzazione sulla sicurezza informatica. I corsi di e-learning statici e i moduli incentrati sulla conformità faticano a preparare i dipendenti ad affrontare attacchi progettati per sembrare realistici ed emotivamente convincenti.

Le persone imparano meglio quando riescono a collegare la formazione a situazioni reali. Ricordano storie, conversazioni ed esempi realistici molto più facilmente rispetto a generici elenchi di segnali di allarme.

Ecco perché la formazione sulla sensibilizzazione deve diventare più coinvolgente e più vicina alle situazioni che i dipendenti vivono ogni giorno. Gli attacchi di ingegneria sociale di oggi sono pensati per sembrare normali, quindi i dipendenti hanno bisogno di una formazione che li prepari proprio a questo.

Prepararsi alla prossima generazione di ingegneria sociale

Gli attacchi basati sull’intelligenza artificiale continueranno a evolversi perché la tecnologia alla base sta diventando sempre più accessibile e facile da usare su larga scala. Le organizzazioni non possono più affidarsi ai vecchi approcci di sensibilizzazione basati su tattiche di phishing ormai superate e segnali di allarme troppo evidenti.

I dipendenti hanno bisogno di fare esperienza pratica con le tecniche di manipolazione che potrebbero trovarsi ad affrontare più spesso, per acquisire la sicurezza necessaria a mettere in discussione richieste insolite e a rallentare quando qualcosa non quadra.

Le organizzazioni che si adatteranno più velocemente saranno quelle che uniranno solidi controlli tecnici di sicurezza a corsi di formazione sulla consapevolezza realistici e incentrati sul comportamento, perché quando l’ingegneria sociale diventa una pratica diffusa, la formazione sulla consapevolezza non può rimanere ancorata al passato.

Scopri di più sulla Cyber Police

Cyber Police usa la fiction per dare vita alle vere minacce informatiche, stimolando il dibattito e mettendo in discussione le nostre convinzioni su ciò che sappiamo oggi degli attacchi informatici.

Ogni stagione affronta gli attacchi a cui i dipendenti sono più esposti, dal phishing al ransomware fino ai deepfake, e li trasforma in episodi avvincenti.

Guardando alle minacce con gli occhi di chi ne è colpito, i dipendenti acquisiscono una maggiore consapevolezza e la sicurezza necessaria per reagire in modo efficace.

Scopri di più su Cyber Police e scopri come la formazione sulla sicurezza informatica basata su scenari reali aiuti i dipendenti a riconoscere e affrontare con sicurezza le moderne minacce informatiche.

Domande frequenti sull'ingegneria sociale

Cos’è l’ingegneria sociale basata sull’intelligenza artificiale?

L’ingegneria sociale basata sull’intelligenza artificiale consiste nell’uso dell’intelligenza artificiale per creare attacchi di phishing più convincenti e su larga scala, come le truffe di truffee comunicazioni fraudolente pensate per indurre le persone a condividere informazioni o compiere azioni.