Perché solide policy DMARC sono fondamentali nell’era dell’impersonificazione guidata dall’AI

Di
Redazione Data Manager Online
-
Perché solide policy DMARC sono fondamentali nell’era dell’impersonificazione guidata dall’AI

La GenAI consente di realizzare email di phishing e Business Email Compromise (BEC) altamente convincenti, ricche di contesto, a volumi senza precedenti. I domini typosquatted generati dall’AI aggirano l’autenticazione, rendendo necessari monitoraggio proattivo e takedown. Una solida applicazione del DMARC blocca lo spoofing di dominio e protegge la fiducia nel brand alla base. Il punto di vista di Marco Zani, Country Manager Italia di Proofpoint

L’intelligenza artificiale ha cambiato radicalmente l’economia del cybercrime. Quello che in passato richiedeva tempo, ricerca e sforzo umano può oggi essere automatizzato, scalato e ottimizzato dalla GenAI. Nessun ambito rende questo cambiamento più evidente, e più pericoloso, degli attacchi di impersonificazione via email. Con strumenti basati su AI, gli attaccanti sono in grado di generare email molto convincenti in pochi secondi, replicando tono, stile di scrittura e consapevolezza contestuale con un’accuratezza preoccupante.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Nel frattempo, i nuovi strumenti di “vibe coding” abbassano ulteriormente la soglia per la creazione di infrastrutture pericolose, con gli attaccanti in grado di creare rapidamente siti di phishing realistici progettati per raccogliere credenziali o distribuire malware, senza alcuna competenza di sviluppo tradizionale.

Il risultato è un’impennata di campagne di phishing che appaiono legittime, pertinenti e urgenti, tanto via email quanto via web, e in questo contesto, i controlli tradizionali di sicurezza della posta elettronica non sono più sufficienti.

Per ridurre il rischio in modo significativo, serve una strategia di protezione che parta dalla prevenzione dell’impersonificazione accelerata dall’AI alla fonte e questo comincia con una robusta applicazione del protocollo DMARC (Domain-based Message Authentication, Reporting & Conformance), affiancata da monitoraggio e takedown dei domini lookalike.

Impersonificazione aziendale su larga scala accelerata dall’AI

La GenAI ha abbassato le barriere d’ingresso per gli attaccanti, che oggi sono in grado di impersonificare dirigenti, dipendenti, partner e brand con uno sforzo minimo e di:

  • Generare email accurate e professionali che replicano la voce di responsabili e brand
  • Personalizzare automaticamente i messaggi, sfruttando informazioni pubblicamente disponibili da siti aziendali, profili LinkedIn e comunicati stampa
  • Creare siti web contraffatti che rispecchiano l’identità visiva delle aziende, abilitando campagne di phishing end-to-end su scala industriale
  • Scalare rapidamente campagne di phishing e BEC su migliaia di target
Leggi anche:  Artificial Intelligence, cinque modi in cui può migliorare i backup dei dati

Questi messaggi generati dall’AI, spesso contestualmente accurati, allineati all’attualità e pertinenti al business, riescono spesso a superare l’iniziale scetticismo umano. Anche i dipendenti più attenti alla sicurezza possono essere ingannati quando un’email sembra provenire da un dominio affidabile ed è in linea con le attività in corso.

Il risultato è un’escalation degli attacchi basati sull’impersonificazione, che puntano meno allo sfruttamento tecnico e più all’abuso della fiducia nei brand, nei domini e nelle identità di mittenti familiari.

L’ascesa dei domini lookalike

Sebbene il DMARC sia particolarmente efficace nel bloccare lo spoofing del dominio esatto, gli attaccanti si affidano anche ai cosiddetti domini lookalike – visivamente o semanticamente simili ai brand legittimi, ma senza una corrispondenza esatta.

Per creare domini convincenti che eludano un’ispezione superficiale, gli attaccanti combinano tecniche come trasposizione o sostituzione di caratteri, omoglifi di altri alfabeti, varianti del brand con trattini e domini di primo livello alternativi.

I moderni strumenti di AI sono in grado di:

  • Generare in pochi secondi lunghe liste di varianti di dominio plausibili e vicine al brand
  • Selezionare quelle con maggiore potenziale ingannevole
  • Creare contenuti di phishing che corrispondono con precisione al tema del dominio contraffatto
  • Automatizzare i test per identificare le varianti con il tasso di coinvolgimento delle vittime più elevato

Questa combinazione di algoritmi di generazione dei domini e creazione di contenuti di GenAI consente ai malintenzionati di costruire attacchi di phishing senza mai sfiorare il dominio reale.

Poiché i domini lookalike sono di proprietà dei cybercriminali, aggirano completamente i controlli di autenticazione come SPF, DKIM e DMARC, rendendo rilevamento e takedown molto più difficili in assenza di visibilità dedicata sui trend di registrazione dei domini, sull’intelligence delle minacce e sul monitoraggio attivo.

Leggi anche:  Gli attacchi informatici a Harrods: il leggendario retailer nel mirino

Il ruolo di DMARC nella sicurezza email moderna

Il DMARC è un protocollo di autenticazione delle email che si basa su SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Insieme, questi controlli consentono ai proprietari di dominio di:

  • Verificare che un messaggio che dichiara di provenire dal proprio dominio sia autorizzato e crittograficamente integro
  • Specificare come i mail server riceventi devono gestire i messaggi che non superano i controlli di autenticazione
  • Acquisire visibilità su tutte le fonti che inviano email a loro nome
  • Raccogliere campioni di messaggi che non superano l’autenticazione, per distinguere le fonti legittime dal traffico contraffatto

Quando applicato con una policy robusta (come “quarantine” o “reject”), DMARC impedisce ai mittenti non autorizzati di falsificare con successo un dominio. Questo elimina uno strumento critico dall’arsenale dei cybercriminali e interrompe direttamente gli attacchi basati sull’impersonificazione prima ancora che raggiungano una casella di posta.

Perché DMARC è più importante che mai nell’era dell’AI

L’AI potenzia gli attacchi di spoofing, ma gli attori di minacce hanno comunque bisogno di domini affidabili per rendere credibili i loro messaggi. Ed è esattamente questa dipendenza che il DMARC colpisce.

Diversi fattori rendono la sua applicazione particolarmente critica oggi:

  • Scala guidata dall’AI. Gli attaccanti possono generare e inviare email contraffatte più velocemente che mai.
  • Erosione della fiducia nel brand. Una singola impersonificazione riuscita può danneggiare la fiducia di clienti e partner.
  • Aspettative crescenti. Regolatori, partner e fornitori si aspettano sempre più spesso l’applicazione del DMARC come controllo di base.

Senza una policy DMARC robusta, le organizzazioni lasciano i propri domini esposti agli abusi, permettendo agli attaccanti di utilizzare l’identità del brand come arma su larga scala.

Leggi anche:  CrowdStrike annuncia nuovi cloud regionali per potenziare la sovranità dei dati sicura

Il DMARC non è una soluzione autonoma a tutte le minacce email, ma blocca l’impersonificazione del dominio esatto prima ancora che entrino in gioco il filtraggio dei contenuti, la formazione degli utenti o il rilevamento basato sull’AI.

Ecco perché le aziende devono considerarlo come una base di partenza, non una soluzione completa.