Tecnologia
video suggerito
video suggerito

L’IA può aiutare i truffatori a ingannarci: cosa ci insegna il caso Galeazzi sulle nuove forme di phishing

Dietro l’attacco hacker che ha sottratto ad Andrea Galeazzi, re delle recensioni tech, il controllo del suo account c’è una nuova tecnica di manipolazione chiamata social engineering, che utilizza l’intelligenza artificiale per studiare i profili delle vittime e costruire truffe personalizzate, sempre più difficili da smascherare.
Leggi le notizie prima degli altri. Porta Fanpage.it sul tuo Google.
A cura di Niccolò De Rosa
0 CONDIVISIONI
Immagine

Dopo il clamoroso furto del suo account, Andrea Galeazzi è tornato su quello che si può tranquillamente definire uno dei momenti più difficili della carriera. In un nuovo video, il blogger milanese ha ricostruito nel dettaglio la truffa che ha portato alla perdita del canale YouTube grazie al quale, negli anni, è diventato uno dei principali punti di riferimento italiani nel mondo delle recensioni di prodotti tech.  "Non pensavo di fare notizia per una cosa del genere, eppure è successo: sono stato hackerato. Proprio io che parlo di tecnologia ogni giorno, come alcuni hanno fatto notare", ha ammesso Galeazzi.

Ma come è potuto accadere che un esperto come Galeazzi sia cascato in una banale mail di phishing? Il punto, come ha sottolineato lo stesso creator, è che truffe di questo tipo stanno diventando sempre più insidiose e sofisticate. Alla base c'è una nuova tecnica di social engineering – termine preso in prestito dalla psicologia – che sfrutta l'intelligenza artificiale per "personalizzare" l’inganno sulle abitudini online della vittima, facendo leva su quel sentimento che porta ad abbassare la guardia anche quando non si dovrebbe: la fiducia.

La mail "perfetta" che fa scattare la trappola

Come raccontato dallo stesso Galeazzi, la mail che ha fatto scattare l'attacco hacker proveniva da un brand reale con cui aveva già collaborato in passato. Il testo era perfettamente contestualizzato, costruito su dettagli autentici e privo di quei marchiani errori di traduzione che contraddistinguono messaggi di questo tipo. "Abbiamo visto che alcuni follower si lamentano della qualità dell'audio dei tuoi video", recitava la mail, proponendo l'invio di un nuovo modello di microfono per una prova gratuita. All'apparenza tutto tornava. Simili proposte sono all'ordine del giorno per chi fa questo tipo di lavoro e nelle ultime settimane Galeazzi aveva effettivamente ricevuto dei feedback riguardo un audio un po' troppo "ovattato" nei suoi ultimi contenuti.

Leggi anche
Cambi password e perdi l'accesso a Instagram: come funziona la nuova truffa del "profilo resettato"

Per procedere con l'invio dell'apparecchiatura però, Galeazzi avrebbe dovuto confermare la propria identità. Il link rimandava quindi a una pagina curata, pulita, senza codici o formule strane che avrebbero potuto destare sospetti. Una volta terminata l'operazione, però, il blogger si è subito reso conto del disastro. In meno di venti secondi erano state modificate password, contatti di recupero e sistemi di accesso. Nel giro di pochi minuti il suo storico canale, frutto di un lavoro pluridecennale, aveva cambiato nome e stava già trasmettendo live "fuffa" sulle criptovalute.

Cos'è il social engineering potenziato dall'IA

Dopo qualche momento di sconforto, Galeazzi è riuscito a contattare Google e tornare in possesso del suo account, anche se gran parte dello storico del canale sembra essere perduto. La vicenda è però diventata utile per accendere i riflettori su una nuova modalità di cyber-crime che attinge a piene mani dalla potenza dell'intelligenza artificiale non per forzare i sistemi informatici, ma per far sì che siano le stesse vittime a fornire ai malintenzionati le chiavi delle loro casseforti virtuali.

Tale forma di manipolazione psicologica viene definita social engineering e ricalca i metodi di quelle truffe in "vecchio stile" fatte di appostamento e sopralluoghi per carpire le abitudini delle vittime e tessere una ragnatele d'inganni credibile. Al posto dei pedinamenti e delle domande al vicinato però, gli hacker utilizzano l'IA per scandagliare il web alla ricerca di informazioni utili.

Ponendo le giuste domande, l'IA è infatti in grado di controllare profili social, siti web e qualsiasi dato pubblico della vittima per poi costruire messaggi di phishing su misura, che sembrano scritti da un interlocutore reale, o addestrare bot che si fingono un conoscente o un servizio d'assistenza per intavolare conversazioni che finiranno immancabilmente con la richiesta di pagamenti o dati sensibili.

Come proteggersi dalle truffe personalizzate dall'IA

Il caso Galeazzi dimostra come controllare l'URL delle pagine sospette o affidarsi all'intuito non sia più sufficiente. Anche l’autenticazione a due fattori può fallire se l'utente autorizza inconsapevolmente l'accesso. La risposta deve pertanto passare da strumenti più rigorosi. Lo stesso creator ne ha suggeriti alcuni:

  • Chiavette fisiche: piccole chiavette USB per verificare l'identità dell'utente prima di consentire l'accesso a un account o a un programma. Tale strumento è molto sicuro perché utilizza un sistema di crittografia avanzata e deve essere "fisicamente" presente al momento dell'immissione delle credenziali.
  • Passkey: altro strumento di crittografia avanzata a doppia chiave (una pubblica, salvata sul sito, e una privata sul dispositivo personale) che sostituisce o integra le password con PIN o dati biometrici, come il riconoscimento facciale o l'impronta digitale.
  • Programmi di protezione avanzata: un servizio offerto da Google che può essere usato da tutti, anche se è stata pensato per i profili pubblicamente esposti, come politici, VIP o giornalisti.
  • Non usare la stessa password per tutto: separare gli account, evitare che un’unica mail diventi "la porta d'ingresso per l'intera vita digitale".

Oltre a questi, l'America’s Cyber Defense Agency (CISA), l'agenzia che tutela le compagnie e i settori strategici degli USA dagli attacchi informatici, offre ulteriori accortezze che, benché tarate per l'utilizzo aziendale, possono essere utili anche i privati cittadini. Tra queste, il diffidare sempre delle richieste di password o dati privati che non seguano un iter istituzionale, cercare nei siti l'icona di un lucchetto chiuso ("è il segnale che le tue informazioni verranno crittografate") e non rivelare mai informazioni essenziali attraverso mail private. Meglio prendersi cinque minuti per contattare telefonicamente l'interlocutore che pentirsi amaramente dopo aver aperto il link sbagliato.

Tecnologia
0 CONDIVISIONI
Immagine
Analisi
L'aria inquinata può aumentare il rischio di SLA: i risultati di un nuovo studio e i dati in Italia
Il rischio è maggiore anche del 30%: lo studio svedese
Eppure in Svezia l'inquinamento è relativamente contenuto
La concentrazione di inquinanti in Italia è molto più elevata
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
Notifiche
Effettua il Login
Tecnologia
api url views