Le foto pubblicate sui social media possono diventare un potente strumento nelle mani dei cybercriminali. Nell’era dell’intelligenza artificiale, immagini apparentemente innocue condivise online possono essere trasformate rapidamente in campagne di phishing altamente personalizzate. Una dimostrazione condotta dai ricercatori di sicurezza mostra come bastino circa trenta immagini pubbliche e meno di mezz’ora di elaborazione per costruire una truffa su misura per una vittima.
Il dato emerge da “From Holiday Snap to Custom Scam in 30 Minutes. How AI Turns Public Photos Into Targeted Attacks”, l’ultimo studio di TrendAI, business unit di Trend Micro
Come le foto sui social diventano intelligence per gli attacchi informatici
Molte organizzazioni investono ingenti risorse per proteggere infrastrutture, endpoint, identità digitali e ambienti cloud. Tuttavia esiste una superficie di attacco spesso trascurata: la presenza digitale personale delle persone che lavorano all’interno delle aziende.
Profili social, email personali e immagini pubbliche rappresentano infatti una fonte ricchissima di informazioni. Le foto condivise online possono rivelare dettagli su abitudini quotidiane, interessi, luoghi frequentati, relazioni sociali e perfino momenti delicati della vita personale. Quando queste immagini vengono raccolte e analizzate su larga scala, possono trasformarsi in un profilo dettagliato della persona.
Per i cybercriminali, il valore di queste informazioni non risiede tanto nella loro natura privata quanto nel contesto che permettono di ricostruire. Questo contesto rende possibile costruire messaggi di phishing estremamente credibili e difficili da riconoscere.
L’intelligenza artificiale accelera il phishing mirato
Il phishing mirato non è una tecnica nuova. Per anni è stato utilizzato contro obiettivi specifici come dirigenti o figure di alto profilo, perché richiedeva lunghe attività manuali di raccolta informazioni e analisi delle fonti aperte.
L’intelligenza artificiale cambia radicalmente questo scenario.
Grazie ai modelli di analisi delle immagini e agli strumenti di automazione oggi disponibili, è possibile trasformare una raccolta di foto pubbliche in informazioni operative in pochi minuti. Ciò che in passato richiedeva giorni di analisi OSINT può essere compresso in una procedura automatizzata estremamente veloce.
In una dimostrazione pratica, i ricercatori hanno sviluppato uno strumento in grado di automatizzare l’intero processo: dalla raccolta delle immagini pubbliche su Instagram all’analisi tramite modelli AI, fino alla creazione di un profilo completo della vittima.
Dall’analisi delle immagini al profilo completo della vittima
Lo strumento sviluppato per la dimostrazione analizza ogni immagine come se fosse un vero e proprio report di intelligence. L’AI esamina i soggetti presenti nella foto, cercando di inferire elementi come età, genere, postura, espressioni facciali e dinamiche sociali.
Parallelamente analizza l’ambiente circostante: architettura degli edifici, segnaletica stradale, vegetazione, clima, infrastrutture e condizioni socioeconomiche. Anche dettagli apparentemente marginali come scritte su cartelloni, targhe automobilistiche, etichette o testi su magliette vengono individuati e interpretati.
L’analisi considera inoltre indizi temporali come l’illuminazione, le ombre, il meteo e la stagione, elementi che permettono di stimare quando e dove è stata scattata la fotografia. Il risultato è un quadro sorprendentemente dettagliato del contesto personale e geografico della vittima.
Una volta completata l’analisi delle immagini, il sistema combina tutte le informazioni in un profilo strutturato che può essere ulteriormente arricchito attraverso ricerche OSINT online.
Email di phishing e siti fraudolenti generati automaticamente
A questo punto entra in gioco un modello linguistico che analizza il profilo della persona e individua gli argomenti più efficaci per attirare la sua attenzione. I ricercatori hanno utilizzato il termine “marketing topics” per evitare le limitazioni etiche imposte dai modelli AI, ma il meccanismo è sostanzialmente identico a quello utilizzato per costruire campagne di phishing.
Sulla base degli interessi individuati, il sistema genera email altamente personalizzate e propone possibili indirizzi email della vittima. Successivamente è in grado di creare automaticamente anche un sito web tematico che può essere trasformato in una pagina di phishing.
L’intero processo, dalla raccolta delle immagini alla generazione del sito fraudolento, richiede meno di trenta minuti.
Un esempio concreto di profilazione basata sulle immagini
Durante la dimostrazione è emerso un caso particolarmente significativo. Analizzando le immagini pubblicate da una persona su Instagram, il sistema ha dedotto che la vittima si era recentemente ripresa da una grave malattia. Questa informazione è stata utilizzata dall’AI per generare email legate al tema della guarigione e del supporto sanitario.
Questo esempio dimostra quanto l’AI possa utilizzare informazioni pubbliche per costruire esche estremamente convincenti, senza accedere a dati privati o violare sistemi informatici.
Un rischio crescente anche per le aziende
Le implicazioni non riguardano solo gli individui. Dirigenti e dipendenti condividono spesso elementi della propria vita personale sui social media, e queste informazioni possono essere utilizzate per attacchi che colpiscono direttamente l’azienda.
Quando contesto personale e contesto professionale si sovrappongono — ad esempio nelle comunicazioni via email — i cybercriminali possono sfruttare queste informazioni per creare messaggi estremamente credibili e mirati.
La crescente velocità con cui l’intelligenza artificiale consente di analizzare e correlare dati pubblici rende quindi le informazioni personali una componente sempre più rilevante della superficie di attacco aziendale.
Le foto pubbliche diventano un nuovo elemento della superficie di attacco
La dimostrazione mostra come l’intelligenza artificiale non introduca una nuova tecnica di attacco, ma renda molto più veloce e scalabile una pratica già esistente. Il phishing mirato diventa infatti ripetibile e automatizzabile su larga scala.
Questo significa che non solo figure di alto profilo, ma anche utenti comuni possono diventare bersagli di truffe altamente personalizzate.
La consapevolezza rappresenta quindi il primo elemento di difesa. Le immagini pubblicate online contengono spesso più informazioni di quanto sembri a prima vista, e nell’era dell’intelligenza artificiale queste informazioni possono essere rapidamente trasformate in strumenti di attacco.
Con l’evoluzione delle tecnologie AI, le foto personali condivise sui social non sono più soltanto ricordi digitali: sempre più spesso diventano dati di intelligence utilizzabili nel panorama delle minacce informatiche.
