L’intelligenza artificiale sta modificando in modo sostanziale l’economia del cybercrime, riducendo drasticamente il tempo necessario per raccogliere informazioni sui target e automatizzando attività che fino a pochi anni fa richiedevano competenze specialistiche. Secondo una ricerca pubblicata da TrendAI, business unit di Trend Micro focalizzata sull’AI security, i contenuti pubblici condivisi su LinkedIn possono essere trasformati in intelligence strutturata e utilizzati per costruire campagne di spear phishing altamente personalizzate in meno di 30 minuti.
Il dato evidenzia un cambiamento rilevante nella fase di reconnaissance, tradizionalmente considerata uno dei passaggi più costosi e complessi nella preparazione di un attacco mirato. L’automazione delle attività di Open Source Intelligence (OSINT) consente oggi di raccogliere, analizzare e correlare informazioni pubbliche con una rapidità che modifica radicalmente la scalabilità delle operazioni offensive.
OSINT industrializzato e profiling automatizzato
La ricerca “From LinkedIn to Tailored Attack in 30 Minutes” descrive un proof of concept in cui strumenti AI disponibili sul mercato vengono utilizzati per raccogliere dati pubblici da LinkedIn, analizzarli tramite modelli multimodali e generare profili dettagliati di dipendenti e dirigenti aziendali.
Post, immagini e metadati pubblicati sui profili professionali diventano elementi di una pipeline automatizzata capace di trasformare informazioni apparentemente innocue in insight utilizzabili per attività di targeting. Il processo include la raccolta dei contenuti, l’analisi contestuale delle immagini, la ricostruzione della gerarchia organizzativa e l’identificazione di temi professionali rilevanti per ciascun individuo.
Secondo i ricercatori, l’elemento di discontinuità non riguarda la disponibilità dei dati, ma la possibilità di elaborarli su larga scala senza intervento umano significativo. Attività che in passato richiedevano analisti dedicati possono ora essere replicate attraverso workflow automatizzati accessibili anche a operatori con competenze limitate.
Dalla profilazione alla generazione automatica di contenuti
Nel proof of concept analizzato, i dati raccolti vengono organizzati in una struttura gerarchica che consente di comprendere il ruolo delle persone all’interno dell’organizzazione e il loro potenziale livello di influenza nei processi decisionali.
L’analisi combinata di testi e immagini consente di individuare interessi professionali, partecipazione a eventi, temi ricorrenti nei contenuti pubblicati e relazioni con altri soggetti del network. Queste informazioni permettono di generare contenuti altamente personalizzati, incluse email costruite per risultare coerenti con il contesto professionale del target.
La ricerca evidenzia anche la possibilità di creare siti web credibili utilizzabili come infrastruttura di phishing, generati automaticamente tramite strumenti di AI coding. Il livello di personalizzazione aumenta la probabilità che il messaggio venga percepito come legittimo, riducendo l’efficacia delle tradizionali difese basate sulla capacità dell’utente di riconoscere contenuti generici o poco plausibili.
Il passaggio da una personalizzazione artigianale a una personalizzazione scalabile rappresenta uno degli elementi più rilevanti dal punto di vista strategico. La possibilità di produrre contenuti mirati in tempi ridotti consente di estendere il perimetro degli attacchi senza incrementare proporzionalmente i costi operativi.
La digital footprint come nuova componente della superficie di attacco
Uno degli aspetti più significativi evidenziati criguarda l’espansione della superficie di attacco oltre i confini tradizionali dell’infrastruttura IT. L’impronta digitale dei dipendenti, composta da informazioni condivise volontariamente sui social professionali, diventa una fonte di intelligence utilizzabile da attori malevoli.
La machine-readability dei contenuti pubblici consente ai sistemi AI di estrarre segnali utili per comprendere priorità professionali, progetti in corso, tecnologie utilizzate e relazioni tra individui all’interno dell’organizzazione. Questa visibilità esterna può essere sfruttata per costruire campagne di social engineering più sofisticate e coerenti con il contesto operativo delle aziende.
Il passaggio da un modello di attacco opportunistico a uno data-driven implica una revisione delle strategie difensive. La sola formazione degli utenti non è più sufficiente a compensare la crescente qualità dei contenuti generati automaticamente, che possono replicare tono, stile e riferimenti tipici delle comunicazioni professionali legittime.
Implicazioni per le strategie di difesa
La ricerca suggerisce la necessità di integrare modelli di exposure management nelle strategie di sicurezza aziendale. La gestione dell’esposizione informativa diventa un elemento complementare alle tradizionali misure di protezione dell’infrastruttura, richiedendo politiche di igiene digitale e una maggiore consapevolezza dei rischi associati alla condivisione pubblica di contenuti professionali.
Secondo Marco Fanuli, Technical Director di TrendAI Italia, la criticità principale non risiede nella complessità tecnica degli strumenti utilizzati dagli attaccanti, ma nella loro accessibilità. La disponibilità di tecnologie in grado di automatizzare la profilazione rende plausibile un utilizzo su larga scala di campagne mirate, con un impatto potenzialmente significativo sulla postura di sicurezza delle organizzazioni.
La possibilità di costruire sistemi di profilazione funzionanti in tempi ridotti dimostra come la barriera di ingresso per attività di cybercrime mirato si stia progressivamente abbassando. La combinazione tra raccolta automatizzata di dati, analisi multimodale e generazione di contenuti sintetici consente di produrre attacchi altamente personalizzati con uno sforzo limitato.
Un cambiamento strutturale nella threat landscape
Il lavoro di TrendAI non introduce tecniche radicalmente nuove, ma evidenzia un cambiamento strutturale nella scala e nella velocità con cui possono essere applicate. L’automazione dell’OSINT trasforma la reconnaissance in un processo continuo, replicabile e facilmente adattabile a contesti organizzativi diversi.
Per i team di sicurezza, il punto critico diventa la capacità di riconoscere che la visibilità pubblica delle informazioni rappresenta una componente sempre più rilevante del profilo di rischio. L’infrastruttura tecnologica resta un elemento centrale della difesa, ma la dimensione informativa esterna acquisisce un peso crescente nel determinare il livello di esposizione complessivo.
La diffusione di strumenti AI in grado di interpretare dati non strutturati introduce un nuovo livello di complessità nella gestione del rischio cyber. Le organizzazioni sono chiamate ad aggiornare i propri modelli di valutazione delle minacce considerando non solo ciò che è protetto all’interno del perimetro aziendale, ma anche ciò che è visibile all’esterno e interpretabile da sistemi automatizzati.
