Phishing si tratta di tentativi fraudolenti di ottenere informazioni sensibili, come nomi utente, password e dati di carte di credito, mascherandosi da un'entità affidabile nelle comunicazioni elettroniche.
Gli aggressori utilizzano spesso lo spoofing delle e-mail per inviare messaggi che sembrano provenire da fonti affidabili, come banche o aziende fidate. Queste e-mail possono contenere link a siti web dannosi che simulano pagine di login legittime.
Gli aggressori inviano e-mail che sembrano provenire da una fonte affidabile, come una banca, e che contengono link a siti Web dannosi che simulano pagine di login legittime:
Facendo clic sul link, l'utente viene indirizzato a un sito fraudolento dove le sue credenziali possono essere raccolte.
L'intelligenza artificiale consente agli aggressori di creare e-mail phishing altamente personalizzate e più convincenti:
Un modello di intelligenza artificiale analizza i profili dei social media di un target per creare un'e-mail phishing :
Il vishing è un tipo di attacco phishing che utilizza telefonate o messaggi vocali per ingannare le persone e indurle a rivelare informazioni riservate o a eseguire azioni che compromettono la sicurezza.
Un aggressore utilizza la tecnologia Voice over Internet Protocol (VoIP) per falsificare l'ID del chiamante, facendo credere che la chiamata provenga da una banca legittima. L'aggressore chiama la vittima e si spaccia per un rappresentante della banca, affermando:
"Questo è il dipartimento di sicurezza di [Nome della banca]. Abbiamo rilevato attività sospette sul suo conto. Per proteggere i suoi fondi, la preghiamo di verificare il suo numero di conto, il PIN e i dettagli delle transazioni recenti".
Credendo che la chiamata sia autentica grazie all'ID del chiamante riconoscibile e al tono urgente, la vittima fornisce le informazioni richieste. L'aggressore utilizza quindi questi dati per accedere al conto bancario della vittima, trasferire fondi o effettuare acquisti non autorizzati.
L'AI migliora il vishing attraverso:
Un aggressore utilizza l'intelligenza artificiale per clonare la voce di un amministratore delegato e lascia un messaggio vocale a un dipendente:
"Salve, sono [nome dell'amministratore delegato]. Sono impegnato in una riunione, ma ho bisogno che elaboriate un bonifico urgente a favore di un nostro nuovo cliente. I dettagli sono nella sua e-mail".
Spear phishing è una forma più raffinata di phishing che si rivolge a individui o organizzazioni specifiche, utilizzando informazioni personalizzate per aumentare la credibilità.
Esempio: Un aggressore cerca un dipendente sui social media e scopre che ha recentemente partecipato a una conferenza sulla sicurezza informatica. L'aggressore invia quindi un'e-mail:
Il contesto personalizzato aumenta la probabilità che il dipendente faccia clic sul link.
Gli attacchi di whaling si concentrano su individui di alto profilo come CEO o CFO, con l'obiettivo di sfruttare il loro accesso a informazioni sensibili.
Esempio: Un aggressore si spaccia per un amministratore delegato e invia un'e-mail al reparto finanziario:
Il senso di urgenza e di autorità spinge il destinatario a conformarsi senza alcuna verifica.
Il pretexting consiste nel creare uno scenario fittizio per indurre le vittime a rivelare informazioni riservate.
Esempio:
Un aggressore chiama un dipendente, sostenendo di essere dell'help desk IT:
Ritenendo che la richiesta sia legittima, il dipendente può rivelare il proprio nome utente e la propria password.
L'adescamento utilizza la promessa di qualcosa di desiderabile per attirare le vittime in una trappola.
Esempio:
Un aggressore lascia delle chiavette USB con l'etichetta "Riepilogo stipendio Q1" nel parcheggio di un'azienda. I dipendenti, incuriositi, raccolgono le chiavette e le inseriscono nei loro computer, installando inconsapevolmente malware che garantisce all'aggressore l'accesso alla rete aziendale.
Queste tecniche prevedono l'accesso fisico non autorizzato ad aree sicure sfruttando la fiducia delle persone.
Esempio: Un aggressore che trasporta casse pesanti si avvicina a una porta protetta. Quando un dipendente apre la porta, l'aggressore gli chiede di tenerla, ottenendo l'accesso senza un'adeguata autenticazione.
I virus si attaccano ai file puliti e si diffondono ad altri file.
Unvirus macro incorporato in un documento Word si attiva quando il documento viene aperto, infettando altri documenti.
I worm sfruttano le vulnerabilità per infettare i sistemi senza l'intervento dell'utente.
SQL Slammer worm ha sfruttato una vulnerabilità di buffer overflow in SQL Server di Microsoft, causando una diffusa congestione della rete.
L'intelligenza artificiale migliora le capacità di malware :
Un worm utilizza l'apprendimento per rinforzo per identificare i percorsi di exploit più efficaci all'interno di una rete, adattando la sua strategia di propagazione per massimizzare i tassi di infezione e minimizzare il rilevamento.
I trojan appaiono come programmi legittimi ma eseguono attività dannose quando vengono eseguiti.
Esempio: Un gioco scaricato include un Trojan che, una volta installato, apre una backdoor sul sistema utilizzando la porta 4444. L'aggressore può ora accedere e controllare il sistema da remoto.
Il ransomware cripta i dati dell'utente e richiede il pagamento della chiave di decrittazione.
Esempio: WannaCry ha sfruttato le vulnerabilità del protocollo SMB per diffondersi rapidamente. Crittografava i file e mostrava una nota di riscatto che richiedeva il pagamento di Bitcoin.
L'intelligenza artificiale migliora il ransomware:
Il ransomware analizza i file di sistema per dare priorità alla crittografia delle risorse critiche, utilizzando l'intelligenza artificiale per prevedere quali file sono più preziosi per la vittima.
> Leggi di più sui principali gruppi di ransomware
Uno spyware monitora l'attività dell'utente per raccogliere informazioni.
Esempio: Un'applicazione spyware registra la cronologia del browser, i tasti premuti e le schermate, inviando i dati all'aggressore.
Un adware visualizza pubblicità indesiderate.
Esempio: L'adware inserisce annunci nelle pagine web o reindirizza le query di ricerca verso siti pubblicitari.
I rootkit modificano il sistema operativo per nascondere i processi e i file dannosi agli strumenti di rilevamento.
Esempio: Un rootkit in modalità kernel sostituisce i driver di sistema come ndis.sys per intercettare il traffico di rete e nascondere la sua presenza a strumenti come Task Manager e software antivirus.
Le reti bot sono costituite da numerosi dispositivi infetti (bot) controllati da un aggressore (botmaster) per eseguire azioni coordinate.
Esempio: La botnet Mirai ha infettato dispositivi IoT come telecamere e router utilizzando credenziali predefinite. È stata utilizzata per attacchi DDoS, sommergendo gli obiettivi con un traffico superiore a 1 Tbps.
Gli attacchi DoS sovraccaricano le risorse di un sistema, rendendo i servizi non disponibili.
Esempio: Gli aggressori inviano una serie di richieste SYN al server di un bersaglio, consumando risorse e lasciando connessioni semiaperte.(Inondazione di SYN)
L'intelligenza artificiale perfeziona gli attacchi DoS:
Una botnet guidata dall'intelligenza artificiale regola le dimensioni e gli intervalli dei pacchetti per imitare i modelli di traffico legittimi, eludendo il rilevamento da parte dei sistemi di prevenzione delle intrusioni basati sulle anomalie.
Gli attacchi DDoS utilizzano più sistemi compromessi per amplificare l'attacco.
Esempio: Le reti bot inviano pacchetti UDP di grandi dimensioni a porte casuali del server di destinazione, costringendolo a verificare la presenza di applicazioni in ascolto su tali porte e a rispondere con ICMP "Destination Unreachable", consumando larghezza di banda.(Diluvio UDP)
In un attacco MitM, gli hacker ritrasmettono segretamente ed eventualmente alterano le comunicazioni tra due parti.
Esempio: Un utente malintenzionato utilizza un hotspot Wi-Fi non autorizzato e tecniche di SSL stripping per declassare le connessioni HTTPS a HTTP, intercettando dati sensibili.(Spoofing HTTPS)
L'intelligenza artificiale migliora gli attacchi MitM attraverso:
Un sistema di intelligenza artificiale analizza il traffico criptato per individuare gli schemi che potrebbero indicare il riutilizzo delle chiavi, aiutando a decifrare le comunicazioni all'insaputa dell'utente.
Negli attacchi di DNS Spoofing (o DNS Poisoning), gli autori alterano i record DNS per reindirizzare il traffico verso siti fraudolenti.
Esempio: Iniettando voci falsificate nella cache di un server DNS, il dominio www.example.com si risolve con l'indirizzo IP dell'aggressore, conducendo gli utenti a un sito Web dannoso.
Gli aggressori inviano messaggi ARP falsificati per associare il proprio indirizzo MAC all'indirizzo IP di un altro host.
Esempio: L'aggressore invia una risposta ARP indicando che l'indirizzo IP del gateway corrisponde al suo indirizzo MAC. Il traffico destinato al gateway viene inviato all'aggressore, consentendo lo sniffing o la manipolazione dei pacchetti.
Gli aggressori iniettano istruzioni SQL dannose nei campi di input per manipolare i database di backend.
L'intelligenza artificiale automatizza la scoperta dei punti di iniezione:
Uno strumento di intelligenza artificiale analizza le applicazioni web, imparando dalle risposte a creare attacchi di tipo SQL injection che eludono meccanismi di sicurezza come la sanitizzazione degli input.
> Come rilevare gli attacchi di SQL Injection
Gli attacchi XSS prevedono l'iniezione di script dannosi che vengono eseguiti nel browser dell'utente.
Esempio: Un utente malintenzionato pubblica un commento contenente su un forum. Quando gli altri utenti visualizzano il commento, i loro browser eseguono lo script, inviando i loro cookie di sessione all'aggressore.
L'intelligenza artificiale migliora gli attacchi XSS in quanto:
Un sistema di intelligenza artificiale crea payload XSS che si adattano alle diverse versioni del browser e alle impostazioni di sicurezza, aumentando il tasso di successo dell'attacco.
Il CSRF inganna gli utenti autenticati che inviano richieste a loro insaputa.
Esempio: Un utente malintenzionato crea un modulo nascosto sul proprio sito web che invia una richiesta POST a http://bank[.]com/transfer al caricamento della pagina. Se l'utente è collegato al proprio conto bancario, la richiesta trasferisce i fondi al conto dell'aggressore.
RFI consente agli aggressori di includere ed eseguire file remoti attraverso script vulnerabili.
Gli aggressori tentano tutte le combinazioni possibili per scoprire le password.
Esempio: Utilizzando strumenti come Hydra, un aggressore può prendere di mira un server SSH per ottenere le password.
L'intelligenza artificiale migliora l'efficienza:
Un modello come PassGAN genera ipotesi di password basate su modelli provenienti da database trapelati, riducendo in modo significativo il tempo necessario per decifrare le password.
Gli aggressori utilizzano un elenco di password comuni per indovinare le credenziali degli utenti.
Multiplo elenchi di password Si possono trovare online le password più comuni, come ad esempio password, 123456, qwerty.
L'aggressore può automatizzare i tentativi di accesso utilizzando queste password per più account.
Gli aggressori utilizzano coppie di nomi utente e password provenienti da violazioni di dati per accedere ad account su altri servizi.
Esempio: Le credenziali di un sito di e-commerce compromesso vengono utilizzate per tentare l'accesso a siti bancari. Il successo si basa sul fatto che gli utenti riutilizzano le password tra i vari servizi.
I keylogger catturano i tasti premuti per ottenere informazioni sensibili come password e numeri di carta di credito.
Un keylogger software funziona silenziosamente in background, registrando tutti i tasti premuti e inviando periodicamente i log al server dell'aggressore.
Negli attacchi di password spraying, gli hacker provano un piccolo numero di password comunemente utilizzate su molti account per evitare il blocco degli account.
Esempio: L'attaccante tenta password come Benvenuto1! o Password2023 su tutti gli account utente di un'organizzazione.
Gli aggressori catturano i dati trasmessi su reti Wi-Fi non criptate.
Esempio: Utilizzando Aircrack-ng, un utente malintenzionato cattura i pacchetti da una rete Wi-Fi aperta per intercettare i login di posta elettronica inviati in chiaro.
Le vulnerabilità nei protocolli Bluetooth consentono agli aggressori di connettersi senza autorizzazione.
Esempio: L'hacker sfrutta i difetti di implementazione del Bluetooth per eseguire codice in remoto su dispositivi privi di patch.(Attacco BlueBorne)
Applicazioni dannose o applicazioni legittime compromesse possono infettare i dispositivi mobili.
Esempio: Una versione troianizzata di un'applicazione popolare richiede autorizzazioni eccessive, consentendole di leggere i messaggi, accedere ai contatti e trasmettere dati all'aggressore.
I dispositivi IoT spesso non dispongono di solide misure di sicurezza, il che li rende facili bersagli.
Esempio: Un utente malintenzionato accede a un termostato intelligente con credenziali predefinite e lo utilizza come punto di snodo per scansionare e attaccare altri dispositivi in rete.
I dispositivi IoT compromessi contribuiscono alla creazione di potenti botnet.
Esempio: La botnet Reaper ha sfruttato le vulnerabilità dei dispositivi IoT per creare una rete in grado di lanciare attacchi DDoS ad alto volume.
Gli aggressori prendono di mira servizi cloud mal configurati o vulnerabili.
Esempio: Un bucket Amazon S3 non correttamente configurato consente l'accesso pubblico in lettura/scrittura, esponendo dati sensibili.
Le configurazioni errate portano all'accesso non autorizzato o all'escalation dei privilegi.
Esempio: Un utente malintenzionato sfrutta ruoli IAM troppo permissivi in AWS per scalare i privilegi e ottenere il controllo delle risorse di cloud .
Oggi l'intelligenza artificiale analizza il software di terze parti alla ricerca di falle sfruttabili e l'apprendimento automatico automatizza l'inserimento di codice dannoso in sistemi complessi, rendendo più facile per l'attaccante compromettere gli elementi della catena di approvvigionamento per infiltrarsi negli obiettivi.
Zero-day Gli exploit sfruttano le vulnerabilità del software sconosciute al fornitore.
Esempio: Stuxnet Worm ha utilizzato molteplici vulnerabilità zero-day per colpire e danneggiare le centrifughe nucleari iraniane.
Violazione degli algoritmi di crittografia
Gli aggressori sfruttano le debolezze dei protocolli o delle implementazioni di crittografia.
Esempio: L' attacco Padding Oracle sfrutta gli errori di padding nelle operazioni crittografiche per decifrare il testo cifrato senza la chiave.
Gli attacchi Man-in-the-middle compromettono SSL/TLS sfruttando le debolezze del protocollo.
Esempio: L' attacco POODLE declassa le connessioni TLS a SSL 3.0, che è vulnerabile a certi tipi di attacchi, consentendo all'aggressore di decriptare i cookie di sessione.
Gli aggressori alterano fisicamente i dispositivi per introdurre le vulnerabilità.
Esempio: Installazione di una scheda PCIe dannosa che consente l'accesso non autorizzato alla memoria e ai dati del sistema.
I dispositivi non criptati comportano rischi significativi in caso di smarrimento o furto.
Esempio: Una chiavetta USB smarrita, contenente dati non crittografati di un cliente, provoca una violazione dei dati quando viene ritrovata da una persona non autorizzata.
L'intelligenza artificiale (AI) e Machine Learning (ML) hanno rivoluzionato molti settori, compreso quello della sicurezza informatica. Se da un lato l'IA fornisce potenti strumenti di difesa, dall'altro gli aggressori sfruttano sempre più l'IA per migliorare le loro metodologie di attacco.
L'integrazione dell'intelligenza artificiale nelle tecniche di attacco informatico aumenta in modo significativo la sofisticazione e l'efficacia delle minacce. Gli aggressori sfruttano l'IA per l'automazione, l'adattabilità e il miglioramento dei tassi di successo, sfidando le misure di sicurezza tradizionali.
Comprendendo sia le tecniche di attacco tradizionali che l'impatto dell'IA, le organizzazioni possono sviluppare strategie solide per proteggersi dalle minacce informatiche in evoluzione.
Vectra AI sfrutta l'intelligenza artificiale avanzata e l'apprendimento automatico per rilevare minacce informatiche sofisticate attraverso le tecniche di attacco discusse. Monitorando continuamente il traffico di rete, il comportamento degli utenti e le interazioni di sistema, la piattaforma Vectra AI identifica anomalie e attività dannose in tempo reale. Rileva segni di social engineering, malware, attacchi basati sulla rete, exploit di applicazioni web, abuso di credenziali, minacce persistenti avanzate, minacce interne, compromissioni della catena di approvvigionamento e vulnerabilità IoT.
Utilizzando l'analisi guidata dall'intelligenza artificiale, Vectra AI è in grado di riconoscere schemi e deviazioni che gli strumenti di sicurezza tradizionali potrebbero non notare, anche quando gli aggressori utilizzano l'intelligenza artificiale per migliorare i loro metodi. Questo approccio proattivo consente alle organizzazioni di identificare e rispondere rapidamente agli attacchi informatici sia convenzionali che basati sull'intelligenza artificiale, migliorando in modo significativo la loro posizione di sicurezza in un panorama di minacce in continua evoluzione.