Come l’intelligenza artificiale generativa ha trasformato gli attacchi email e perché una policy DMARC robusta è oggi indispensabile per proteggere il tuo dominio

sicurezza informatica security cybersecurity come difendersi condividere i costi - Cybersecurity Expert DMARC pexels

L’intelligenza artificiale ha cambiato radicalmente l’economia del cybercrime. Quello che in passato richiedeva tempo, ricerca e sforzo umano può oggi essere automatizzato, scalato e ottimizzato dalla GenAI. Nessun ambito rende questo cambiamento più evidente, e più pericoloso,degli attacchi di impersonificazione via email. Con strumenti basati su AI, gli attaccanti sono in grado di generare email molto convincenti in pochi secondi, replicando tono, stile di scrittura e consapevolezza contestuale con un’accuratezza preoccupante.

Nel frattempo, i nuovi strumenti di “vibe coding” abbassano ulteriormente la soglia per la creazione di infrastrutture pericolose, con gli attaccanti in grado di creare rapidamente siti di phishing realistici progettati per raccogliere credenziali o distribuire malware, senza alcuna competenza di sviluppo tradizionale.

Il risultato è un’impennata di campagne di phishing che appaiono legittime, pertinenti e urgenti, tanto via email quanto via web, e in questo contesto, i controlli tradizionali di sicurezza della posta elettronica non sono più sufficienti.

Per ridurre il rischio in modo significativo, serve una strategia di protezione che parta dalla prevenzione dell’impersonificazione accelerata dall’AI alla fonte e questo comincia con una robustaapplicazione del protocollo DMARC (Domain-based Message Authentication, Reporting & Conformance), affiancata da monitoraggio e takedown dei domini lookalike.

Impersonificazione aziendale su larga scala accelerata dall’AI

La GenAI ha abbassato le barriere d’ingresso per gli attaccanti, che oggi sono in grado di impersonificare dirigenti, dipendenti, partner e brand con uno sforzo minimo e di:

Generare email accurate e professionali che replicano la voce di responsabili e brand
Personalizzare automaticamente i messaggi, sfruttando informazioni pubblicamente disponibili da siti aziendali, profili LinkedIn e comunicati stampa
Creare siti web contraffatti che rispecchiano l’identità visiva delle aziende, abilitando campagne di phishing end-to-end su scala industriale
Scalare rapidamente campagne di phishing e BEC su migliaia di target

Questi messaggi generati dall’AI, spesso contestualmente accurati, allineati all’attualità e pertinenti al business, riescono spesso a superare l’iniziale scetticismo umano. Anche i dipendenti più attenti alla sicurezza possono essere ingannati quando un’email sembra provenire da un dominio affidabile ed è in linea con le attività in corso.

Il risultato è un’escalation degli attacchi basati sull’impersonificazione, che puntano meno allo sfruttamento tecnico e più all’abuso della fiducia nei brand, nei domini e nelle identità di mittenti familiari.

Lascesa dei domini lookalike

Sebbene il DMARC sia particolarmente efficace nel bloccare lo spoofing del dominio esatto, gli attaccanti si affidano anche ai cosiddetti domini lookalike – visivamente o semanticamente simili ai brand legittimi, ma senza una corrispondenza esatta.

Per creare domini convincenti che eludano un’ispezione superficiale, gli attaccanti combinano tecniche come trasposizione o sostituzione di caratteri, omoglifi di altri alfabeti, varianti del brandcon trattini e domini di primo livello alternativi.

I moderni strumenti di AI sono in grado di:

Generare in pochi secondi lunghe liste di varianti di dominio plausibili e vicine al brand
Selezionare quelle con maggiore potenziale ingannevole
Creare contenuti di phishing che corrispondono con precisione al tema del dominio contraffatto
Automatizzare i test per identificare le varianti con il tasso di coinvolgimento delle vittime più elevato

Questa combinazione di algoritmi di generazione dei domini e creazione di contenuti di GenAIconsente ai malintenzionati di costruire attacchi di phishing senza mai sfiorare il dominio reale.

Poiché i domini lookalike sono di proprietà dei cybercriminali, aggirano completamente i controlli di autenticazione come SPF, DKIM e DMARC, rendendo rilevamento e takedown molto più difficili in assenza di visibilità dedicata sui trend di registrazione dei domini, sull’intelligence delle minacce e sul monitoraggio attivo.

Il ruolo di DMARC nella sicurezza email moderna

Il DMARC è un protocollo di autenticazione delle email che si basa su SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Insieme, questi controlli consentono ai proprietari di dominio di:

Verificare che un messaggio che dichiara di provenire dal proprio dominio sia autorizzato e crittograficamente integro
Specificare come i mail server riceventi devono gestire i messaggi che non superano i controlli di autenticazione
Acquisire visibilità su tutte le fonti che inviano email a loro nome
Raccogliere campioni di messaggi che non superano l’autenticazione, per distinguere le fonti legittime dal traffico contraffatto

Quando applicato con una policy robusta (come “quarantine” o “reject”), DMARC impedisce ai mittenti non autorizzati di falsificare con successo un dominio. Questo elimina uno strumento critico dall’arsenale dei cybercriminali e interrompe direttamente gli attacchi basati sull’impersonificazione prima ancora che raggiungano una casella di posta.

 

Perché DMARC è più importante che mai nellera dell’AI

L’AI potenzia gli attacchi di spoofing, ma gli attori di minacce hanno comunque bisogno di domini affidabili per rendere credibili i loro messaggi. Ed è esattamente questa dipendenza che il DMARC colpisce.

Diversi fattori rendono la sua applicazione particolarmente critica oggi:

Scala guidata dall’AI. Gli attaccanti possono generare e inviare email contraffatte più velocemente che mai.
Erosione della fiducia nel brand. Una singola impersonificazione riuscita può danneggiare la fiducia di clienti e partner.
Aspettative crescenti. Regolatori, partner e fornitori si aspettano sempre più spesso l’applicazione del DMARC come controllo di base.

Senza una policy DMARC robusta, le organizzazioni lasciano i propri domini esposti agli abusi, permettendo agli attaccanti di utilizzare l’identità del brand come arma su larga scala.

Il DMARC non è una soluzione autonoma a tutte le minacce email, ma blocca l’impersonificazione del dominio esatto prima ancora che entrino in gioco il filtraggio dei contenuti, la formazione degli utenti o il rilevamento basato sull’AI.

Ecco perché le aziende devono considerarlo come una base di partenza, non una soluzione completa.

Articoli correlatiAltro dello stesso autore