Una campagna di phishing particolarmente insidiosa è finita sotto la lente dei Microsoft Defender Experts, che hanno pubblicato un rapporto dettagliato su una tecnica di attacco capace di ingannare anche gli utenti più attenti. Non parliamo della solita email sgrammaticata che chiede di cliccare su un link sospetto. Qui il livello di sofisticazione è decisamente un altro, e vale la pena capire come funziona per non cascarci.
La truffa phishing smascherata da Microsoft funziona così
Il meccanismo è tanto semplice quanto efficace. Le vittime ricevono email che sembrano del tutto normali, contenenti inviti a meeting falsi oppure notifiche di aggiornamento per app molto diffuse come Teams, Zoom o Adobe. Niente di strano, in apparenza. Il problema arriva quando si clicca: invece di aprire una riunione o scaricare un aggiornamento, il sistema installa un malware camuffato da software legittimo.
E qui viene la parte davvero preoccupante. I file malevoli risultano firmati digitalmente con un certificato Extended Validation (EV), rilasciato a nome di una società chiamata TrustConnect Software PTY LTD. Per chi non mastica questi argomenti, un certificato EV è una sorta di “bollino di garanzia” digitale che normalmente richiede verifiche rigorose sull’identità di chi lo richiede. Le Autorità di Certificazione, prima di concederne uno, controllano che l’azienda esista davvero, che abbia una sede fisica, documentazione regolare e via dicendo. Non è roba che si ottiene compilando un modulo online in cinque minuti.
Eppure, stando a quanto riportato dai ricercatori di Microsoft, TrustConnect Software PTY LTD sarebbe una società fantasma creata appositamente per superare quei controlli. E il dettaglio che fa riflettere è il possibile utilizzo dell’intelligenza artificiale nella costruzione dell’intera identità aziendale fittizia.
L’identità aziendale costruita con l’IA che aveva ingannato Microsoft
Il sito web della presunta azienda era curato nei minimi dettagli: statistiche di utilizzo, testimonianze di clienti soddisfatti, grafica professionale. Tutto costruito ad arte, probabilmente con l’aiuto di strumenti di generazione automatica di contenuti. Un lavoro così ben fatto da convincere persino chi doveva verificare la legittimità della società prima di emettere il certificato EV.
Da qui sorgono diversi interrogativi e timori; se l’intelligenza artificiale viene sfruttata per creare aziende credibili dal nulla, diventa molto più complicato per le Autorità di Certificazione distinguere il vero dal falso. E quando un malware porta la firma di un certificato EV apparentemente valido, gli antivirus e i sistemi di sicurezza tendono a fidarsi, lasciando passare la minaccia senza troppi problemi.
