Phishing tentativi fraudolenti di ottenere informazioni sensibili quali nomi utente, password e dati delle carte di credito, fingendo di essere un'entità affidabile nelle comunicazioni elettroniche.
Gli aggressori utilizzano spesso lo spoofing delle e-mail per inviare messaggi che sembrano provenire da fonti affidabili come banche o aziende di fiducia. Queste e-mail possono contenere link a siti web dannosi che imitano pagine di accesso legittime.
Gli aggressori inviano e-mail che sembrano provenire da una fonte affidabile, come una banca, contenenti link a siti web dannosi che imitano pagine di accesso legittime:
Cliccando sul link, l'utente viene reindirizzato a un sito fraudolento dove le sue credenziali possono essere raccolte.
L'intelligenza artificiale consente agli hacker di creare phishing altamente personalizzate e più convincenti:
Un modello di intelligenza artificiale analizza i profili social media di un bersaglio per creare phishing :
Il vishing è un tipo di phishing che utilizza telefonate o messaggi vocali per indurre le persone a rivelare informazioni riservate o a compiere azioni che compromettono la sicurezza.
Un malintenzionato utilizza la tecnologia Voice over Internet Protocol (VoIP) per falsificare l'ID del chiamante, facendo sembrare che la chiamata provenga da una banca legittima. Il malintenzionato chiama la vittima e si finge un rappresentante della banca, affermando:
"Qui è il reparto sicurezza di [nome della banca]. Abbiamo rilevato attività sospette sul tuo conto. Per proteggere i tuoi fondi, ti preghiamo di verificare il tuo numero di conto, il PIN e i dettagli delle transazioni recenti."
Ritenendo che la chiamata sia autentica grazie all'ID chiamante riconoscibile e al tono urgente, la vittima fornisce le informazioni richieste. L'autore dell'attacco utilizza quindi questi dati per accedere al conto bancario della vittima, trasferire fondi o effettuare acquisti non autorizzati.
L'intelligenza artificiale migliora il vishing attraverso:
Un hacker utilizza l'intelligenza artificiale per clonare la voce di un amministratore delegato e lascia un messaggio vocale a un dipendente:
"Salve, sono [nome dell'amministratore delegato]. Sono impegnato in una riunione, ma ho bisogno che lei esegua un bonifico urgente al nostro nuovo cliente. I dettagli sono nella sua e-mail."
phishing spear phishing una forma più sofisticata di phishing prende di mira individui o organizzazioni specifici, utilizzando informazioni personalizzate per aumentare la credibilità.
Esempio: un hacker cerca informazioni su un dipendente sui social media e scopre che ha partecipato di recente a una conferenza sulla sicurezza informatica. Quindi invia un'e-mail:
Il contesto personalizzato aumenta la probabilità che il dipendente clicchi sul link.
Gli attacchi di whaling prendono di mira persone di alto profilo come amministratori delegati o direttori finanziari, con l'obiettivo di sfruttare il loro accesso a informazioni sensibili.
Esempio: un hacker finge di essere un amministratore delegato e manda un'e-mail al reparto finanziario:
Il senso di urgenza e l'autorità esercitano pressione sul destinatario affinché ottemperi senza verificare.
Il pretexting consiste nel creare uno scenario fittizio per indurre le vittime a rivelare informazioni riservate.
Esempio:
Un malintenzionato chiama un dipendente fingendo di essere un tecnico dell'assistenza informatica:
Ritenendo che la richiesta sia legittima, il dipendente potrebbe rivelare il proprio nome utente e la propria password.
L'esca utilizza la promessa di qualcosa di desiderabile per attirare le vittime in una trappola.
Esempio:
Un hacker lascia delle chiavette USB con l'etichetta "Riepilogo stipendi Q1" nel parcheggio di un'azienda. I dipendenti curiosi raccolgono le chiavette e le inseriscono nei loro computer, installando inconsapevolmente malware consente all'hacker di accedere alla rete aziendale.
Queste tecniche consistono nell'ottenere l'accesso fisico non autorizzato ad aree protette sfruttando la fiducia delle persone.
Esempio: un malintenzionato che trasporta scatole pesanti si avvicina a una porta di sicurezza. Quando un dipendente apre la porta, il malintenzionato gli chiede di tenerla aperta, ottenendo così l'accesso senza un'adeguata autenticazione.
I virus si attaccano ai file puliti e si diffondono ad altri file.
Unmacro virus incorporato in un documento Word si attiva all'apertura del documento, infettando altri documenti.
I worm sfruttano le vulnerabilità per infettare i sistemi senza l'intervento dell'utente.
worm SQL Slammer worm una vulnerabilità di tipo buffer overflow nel server SQL di Microsoft, causando una congestione diffusa della rete.
L'intelligenza artificiale potenzia malware :
Un worm l'apprendimento rinforzato per identificare i percorsi di exploit più efficaci all'interno di una rete, adattando la propria strategia di propagazione per massimizzare i tassi di infezione e ridurre al minimo il rischio di rilevamento.
I trojan appaiono come programmi legittimi ma, una volta eseguiti, svolgono attività dannose.
Esempio: un gioco scaricato contiene un trojan che, una volta installato, apre una backdoor sul sistema utilizzando la porta 4444. L'autore dell'attacco può ora accedere e controllare il sistema da remoto.
Il ransomware crittografa i dati dell'utente e richiede un pagamento per ottenere la chiave di decrittografia.
Esempio: WannaCry ha sfruttato le vulnerabilità del protocollo SMB per diffondersi rapidamente. Ha crittografato i file e visualizzato una richiesta di riscatto in cui chiedeva il pagamento in Bitcoin.
L'intelligenza artificiale migliora il ransomware attraverso:
Il ransomware analizza i file di sistema per dare priorità alla crittografia delle risorse critiche, utilizzando l'intelligenza artificiale per prevedere quali file sono più preziosi per la vittima.
> Maggiori informazioni sui principali gruppi di ransomware
Uno spyware monitora l'attività dell'utente per raccogliere informazioni.
Esempio: un'applicazione spyware registra la cronologia del browser, i tasti digitati e gli screenshot, inviando i dati all'autore dell'attacco.
Un adware visualizza annunci pubblicitari indesiderati.
Esempio: l'adware inserisce annunci pubblicitari nelle pagine web o reindirizza le query di ricerca verso siti pubblicitari.
I rootkit modificano il sistema operativo per nascondere processi e file dannosi agli strumenti di rilevamento.
Esempio: Un rootkit in modalità kernel sostituisce i driver di sistema come ndis.sys per intercettare il traffico di rete e nascondere la propria presenza da strumenti come Task Manager e software antivirus.
Le botnet sono costituite da numerosi dispositivi infetti (bot) controllati da un aggressore (botmaster) per eseguire azioni coordinate.
Esempio: la botnet Mirai ha infettato dispositivi IoT come telecamere e router utilizzando credenziali predefinite. È stata utilizzata per attacchi DDoS, sommergendo gli obiettivi con un traffico superiore a 1 Tbps.
Gli attacchi DoS sovraccaricano le risorse di un sistema, rendendo i servizi non disponibili.
Esempio: gli aggressori inviano una serie di richieste SYN al server di un bersaglio, consumando risorse lasciando connessioni semiaperte. (SYN Flood)
L'intelligenza artificiale perfeziona gli attacchi DoS tramite:
Una botnet basata sull'intelligenza artificiale regola le dimensioni dei pacchetti e gli intervalli per imitare i modelli di traffico legittimi, eludendo il rilevamento da parte dei sistemi di prevenzione delle intrusioni basati sulle anomalie.
Gli attacchi DDoS utilizzano più sistemi compromessi per amplificare l'attacco.
Esempio: le botnet inviano grandi pacchetti UDP a porte casuali sul server di destinazione, costringendolo a verificare la presenza di applicazioni in ascolto su tali porte e a rispondere con un messaggio ICMP "Destinazione irraggiungibile", consumando larghezza di banda. (UDP Flood)
In un attacco MitM, gli hacker trasmettono segretamente e possibilmente alterano le comunicazioni tra due parti.
Esempio: un malintenzionato utilizza un hotspot Wi-Fi non autorizzato e tecniche di SSL stripping per declassare le connessioni HTTPS a HTTP, intercettando dati sensibili. (Spoofing HTTPS)
L'intelligenza artificiale potenzia gli attacchi MitM attraverso:
Un sistema di intelligenza artificiale analizza il traffico crittografato per individuare modelli che potrebbero indicare il riutilizzo delle chiavi, aiutando a decrittografare le comunicazioni all'insaputa dell'utente.
Negli attacchi di DNS Spoofing (o DNS Poisoning), gli hacker alterano i record DNS per reindirizzare il traffico verso siti fraudolenti.
Esempio: Inserendo voci contraffatte nella cache di un server DNS, il dominio www.example.com risolve l'indirizzo IP dell'autore dell'attacco, indirizzando gli utenti verso un sito web dannoso.
Gli aggressori inviano messaggi ARP falsificati per associare il proprio indirizzo MAC all'indirizzo IP di un altro host.
Esempio: l'autore dell 'attacco invia una risposta ARP indicando che l'indirizzo IP del gateway corrisponde al proprio indirizzo MAC. Il traffico destinato al gateway viene inviato all'autore dell'attacco, consentendo lo sniffing o la manipolazione dei pacchetti.
Gli aggressori inseriscono istruzioni SQL dannose nei campi di immissione dati per manipolare i database backend.
L'intelligenza artificiale automatizza l'individuazione dei punti di iniezione:
Uno strumento di intelligenza artificiale analizza le applicazioni web, imparando dalle risposte per creare attacchi SQL injection che eludono i meccanismi di sicurezza come la sanificazione degli input.
> Come rilevare gli attacchi SQL Injection
Gli attacchi XSS consistono nell'iniezione di script dannosi che vengono eseguiti nel browser dell'utente.
Esempio: un malintenzionato pubblica un commento contenente su un forum. Quando altri utenti visualizzano il commento, i loro browser eseguono lo script, inviando i loro cookie di sessione al malintenzionato.
L'intelligenza artificiale migliora gli attacchi XSS tramite:
Un sistema di intelligenza artificiale crea payload XSS che si adattano alle diverse versioni dei browser e alle impostazioni di sicurezza, aumentando il tasso di successo dell'attacco.
Il CSRF induce gli utenti autenticati a inviare richieste a loro insaputa.
Esempio: Un malintenzionato crea un modulo nascosto sul proprio sito web che invia una richiesta POST a http://bank[.]com/transfer quando la pagina viene caricata. Se un utente ha effettuato l'accesso al proprio conto bancario, la richiesta trasferisce i fondi sul conto dell'autore dell'attacco.
L'RFI consente agli aggressori di includere ed eseguire file remoti tramite script vulnerabili.
Gli aggressori provano tutte le combinazioni possibili per scoprire le password.
Esempio: utilizzando strumenti come Hydra, un hacker può prendere di mira un server SSH per ottenere le password.
L'intelligenza artificiale migliora l'efficienza:
Un modello come PassGAN genera ipotesi di password basate su modelli provenienti da database trapelati, riducendo significativamente il tempo necessario per decifrare le password.
Gli aggressori utilizzano un elenco di password comuni per indovinare le credenziali degli utenti.
Online è possibile trovare diversi elenchi di password che contengono le password più comuni, come ad esempio password, 123456, qwerty.
L'autore dell'attacco può automatizzare i tentativi di accesso utilizzando queste password su più account.
Gli hacker utilizzano coppie di nome utente e password ottenute da violazioni dei dati per accedere agli account di altri servizi.
Esempio: le credenziali di un sito di e-commerce compromesso vengono utilizzate per tentare di accedere a siti web bancari. Il successo dipende dal fatto che gli utenti riutilizzino le stesse password su diversi servizi.
I keylogger registrano i tasti digitati per ottenere informazioni sensibili come password e numeri di carte di credito.
Un keylogger software funziona silenziosamente in background, registrando tutte le battute sulla tastiera e inviando periodicamente i registri al server dell'autore dell'attacco.
Negli attacchi di password spraying, gli hacker provano un numero limitato di password comunemente utilizzate su molti account per evitare il blocco degli account.
Esempio: L'autore dell'attacco prova password come Benvenuto! o Password2023 su tutti gli account utente di un'organizzazione.
Gli aggressori intercettano i dati trasmessi su reti Wi-Fi non crittografate.
Esempio: utilizzando Aircrack-ng, un hacker cattura i pacchetti da una rete Wi-Fi aperta per intercettare gli accessi alle e-mail inviati in chiaro.
Le vulnerabilità nei protocolli Bluetooth consentono agli aggressori di connettersi senza autorizzazione.
Esempio: l'hacker sfrutta i difetti di implementazione del Bluetooth per eseguire codice in remoto su dispositivi non aggiornati. (Attacco BlueBorne)
Le applicazioni dannose o le app legittime compromesse possono infettare i dispositivi mobili.
Esempio: una versione trojanizzata di un'app popolare richiede autorizzazioni eccessive, consentendole di leggere messaggi, accedere ai contatti e trasmettere dati all'autore dell'attacco.
I dispositivi IoT spesso non dispongono di misure di sicurezza robuste, il che li rende facili bersagli.
Esempio: un hacker accede a un termostato intelligente con credenziali predefinite, usandolo come punto di partenza per scansionare e attaccare altri dispositivi sulla rete.
I dispositivi IoT compromessi contribuiscono alla creazione di potenti botnet.
Esempio: la botnet Reaper ha sfruttato le vulnerabilità dei dispositivi IoT per creare una rete in grado di lanciare attacchi DDoS ad alto volume.
Gli aggressori prendono di mira cloud configurati in modo errato o vulnerabili.
Esempio: un bucket Amazon S3 configurato in modo errato consente l'accesso pubblico in lettura/scrittura, esponendo dati sensibili.
Le configurazioni errate portano ad accessi non autorizzati o all'escalation dei privilegi.
Esempio: un aggressore sfrutta ruoli IAM eccessivamente permissivi in AWS per aumentare i propri privilegi e ottenere il controllo delle cloud .
Oggi, l'intelligenza artificiale analizza i software di terze parti alla ricerca di vulnerabilità sfruttabili e l'apprendimento automatico automatizza l'inserimento di codice dannoso in sistemi complessi, rendendo più facile per gli aggressori compromettere elementi della catena di approvvigionamento per infiltrarsi negli obiettivi.
Zero-day sfruttano vulnerabilità del software sconosciute al fornitore.
Esempio: il Worm Stuxnet ha sfruttato diverse zero-day per colpire e danneggiare le centrifughe nucleari iraniane.
Algoritmi di crittografia di rottura
Gli aggressori sfruttano le vulnerabilità dei protocolli di crittografia o delle loro implementazioni.
Esempio: l'attacco Padding Oracle sfrutta gli errori di riempimento nelle operazioni crittografiche per decriptare il testo cifrato senza la chiave.
Gli attacchi man-in-the-middle compromettono SSL/TLS sfruttando le vulnerabilità del protocollo.
Esempio: l'attacco POODLE declassa le connessioni TLS a SSL 3.0, che è vulnerabile a determinati tipi di attacchi, consentendo all'autore dell'attacco di decriptare i cookie di sessione.
Gli aggressori alterano fisicamente i dispositivi per introdurre vulnerabilità.
Esempio: installazione di una scheda PCIe dannosa che consente l'accesso non autorizzato alla memoria e ai dati del sistema.
I dispositivi non crittografati comportano rischi significativi in caso di smarrimento o furto.
Esempio: una chiavetta USB smarrita contenente dati dei clienti non crittografati provoca una violazione dei dati quando viene trovata da una persona non autorizzata.
L'intelligenza artificiale (AI) e Machine Learning ML) hanno rivoluzionato molti settori, compresa la sicurezza informatica. Mentre l'AI fornisce potenti strumenti di difesa, gli aggressori sfruttano sempre più spesso l'AI per migliorare le loro metodologie di attacco.
L'integrazione dell'intelligenza artificiale nelle tecniche di attacco informatico aumenta significativamente la sofisticatezza e l'efficacia delle minacce. Gli aggressori sfruttano l'intelligenza artificiale per l'automazione, l'adattabilità e il miglioramento dei tassi di successo, mettendo in discussione le misure di sicurezza tradizionali.
Comprendendo sia le tecniche di attacco tradizionali sia l'impatto dell'IA, le organizzazioni possono sviluppare strategie solide per proteggersi dalle minacce informatiche in continua evoluzione.
Vectra AI l'intelligenza artificiale avanzata e l'apprendimento automatico per rilevare sofisticate minacce informatiche attraverso le tecniche di attacco discusse. Monitorando continuamente il traffico di rete, il comportamento degli utenti e le interazioni di sistema, la piattaforma Vectra AI identifica anomalie e attività dannose in tempo reale. Rileva segni di ingegneria sociale, malware potenziato dall'intelligenza artificiale, attacchi basati sulla rete, exploit di applicazioni web, abuso di credenziali, minacce persistenti avanzate, minacce interne, compromissioni della catena di fornitura e vulnerabilità dell'IoT.
Grazie all'analisi basata sull'intelligenza artificiale, Vectra AI riconoscere modelli e deviazioni che gli strumenti di sicurezza tradizionali potrebbero non rilevare, anche quando gli aggressori utilizzano l'intelligenza artificiale per migliorare i propri metodi. Questo approccio proattivo consente alle organizzazioni di identificare e rispondere rapidamente sia agli attacchi informatici convenzionali che a quelli basati sull'intelligenza artificiale, migliorando in modo significativo il proprio livello di sicurezza in un panorama di minacce in continua evoluzione.
Le tecniche di attacco informatico più comuni includono phishing, ransomware, malware, attacchi Denial of Service (DoS)/Distributed Denial of Service (DDoS), attacchi man-in-the-middle (MitM), SQL injection e credential stuffing, tra le altre.
Phishing consistono nell'invio di comunicazioni fraudolente, spesso tramite e-mail, che sembrano provenire da una fonte affidabile per rubare informazioni sensibili. Le contromisure includono l'educazione degli utenti al riconoscimento phishing , l'implementazione di soluzioni avanzate di filtraggio delle e-mail e l'utilizzo dell'autenticazione a più fattori (MFA) per proteggere gli account.
Il ransomware è un tipo di software dannoso progettato per bloccare l'accesso a un sistema informatico o a dei file fino al pagamento di una somma di denaro. A differenza di altri malware possono rubare dati o causare danni al sistema senza richiedere un riscatto, il ransomware notifica esplicitamente alla vittima dell'attacco e richiede un pagamento per il rilascio dei dati o il ripristino del sistema.
La difesa dagli attacchi DoS/DDoS comporta l'implementazione di solide misure di sicurezza della rete, quali servizi di mitigazione DDoS in grado di assorbire e disperdere il traffico degli attacchi, l'implementazione di limitazioni di velocità e la garanzia di una larghezza di banda adeguata per gestire improvvisi picchi di traffico.
Gli attacchi MitM si verificano quando un aggressore intercetta le comunicazioni tra due parti per spiare o manipolare lo scambio di informazioni. Le strategie di prevenzione includono l'uso di protocolli di crittografia come HTTPS, l'utilizzo di VPN per comunicazioni sicure e la formazione degli utenti sull'importanza della verifica della sicurezza delle connessioni.
Gli attacchi SQL injection consistono nell'inserimento di query SQL dannose nei campi di immissione dati al fine di manipolare o sfruttare le vulnerabilità dei database. Le difese includono l'uso di istruzioni preparate e query parametrizzate, l'esecuzione di revisioni regolari del codice e valutazioni delle vulnerabilità, nonché l'implementazione di firewall per applicazioni web (WAF).
Per mitigare il rischio di attacchi di credential stuffing è necessario applicare politiche rigorose in materia di password, richiedere l'autenticazione a più fattori (MFA), monitorare i tentativi di accesso insoliti e sensibilizzare gli utenti sull'importanza di utilizzare password uniche per account diversi.
L'intelligenza artificiale e l'apprendimento automatico possono migliorare significativamente le difese della sicurezza informatica automatizzando il rilevamento di modelli o comportamenti insoliti indicativi di attacchi informatici, migliorando l'intelligence sulle minacce e consentendo una risposta più rapida ed efficiente agli incidenti.
La formazione sulla consapevolezza della sicurezza informatica svolge un ruolo fondamentale nella lotta alle minacce informatiche, fornendo agli utenti le conoscenze necessarie per riconoscere ed evitare potenziali attacchi, riducendo così la probabilità di exploit riusciti dovuti a errori umani.
Le organizzazioni dovrebbero affrontare la risposta agli incidenti con un piano ben definito che includa misure immediate per contenere e valutare l'attacco, eliminare la minaccia, ripristinare i sistemi interessati e analizzare l'incidente al fine di migliorare le misure di sicurezza future.