Una nuova tendenza sta prendendo piede nei forum del cybercrime, dove gruppi come Scattered Spider e ShinyHunters stanno collaborando per offrire competenze di ingegneria sociale in un modello "as a service". Sfruttando l'intelligenza artificiale per clonare voci e creare truffe sofisticate, questi attori vendono pacchetti completi di strumenti e formazione. Lo scopo è condurre attacchi di account takeover e furto di dati su larga scala, come dimostrano le recenti intrusioni in decine di istanze Salesforce che hanno colpito aziende globali. Per il momento pare che questi strumenti siano disponibili solo in lingua inglese, ma non passerà molto prima che diventi un fenomeno plurilinguistico.
L'ascesa di questo modello di business criminale, definito "Impersonation-as-a-Service" (IaaS) da Aaron Painter, CEO della società di sicurezza Nametag, segna un'evoluzione strutturata della minaccia. Il cybercrimine si organizza come un'azienda SaaS, dove i "clienti" possono acquistare tutto il necessario per un'operazione di infiltrazione: script, strumenti di exploit, formazione e supporto. Questo abbassa drasticamente la soglia di accesso a tecniche di attacco avanzate, che prima richiedevano abilità specifiche. La motivazione è quasi sempre finanziaria, con attacchi di ingegneria sociale spesso combinati a ransomware mirato.
L'allarme è supportato dai dati: secondo la società di sicurezza ReliaQuest, la richiesta di specialisti in ingegneria sociale di lingua inglese nei forum clandestini è più che raddoppiata tra il 2024 e il 2025. Questo indica che tali attacchi diventeranno ancora più frequenti, man mano che i criminali replicano le strategie di successo dei loro pari. La professionalizzazione della truffa è un dato di fatto: i criminali non solo collaborano tra loro, ma apprendono tattiche di ricognizione e movimento laterale tipiche degli attori sponsorizzati da stati-nazione, come evidenziato da Jamie Moles di ExtraHop.
Il caso della collaborazione tra ShinyHunters e Scattered Spider è emblematico. ShinyHunters, noto per i furti di dati su larga scala ai danni di clienti come Snowflake e Ticketmaster, ha recentemente compromesso decine di istanze Salesforce. Per farlo, ha sfruttato l'approccio di ingegneria sociale "high-touch" tipico di Scattered Spider, che include chiamate di voice-phishing (vishing) per ingannare i dipendenti e ottenere le credenziali di accesso. Tra le vittime sospette figurano marchi di lusso come Dior e Chanel, colossi come Google e Allianz, e più recentemente il fornitore di software Workday.
La tecnologia al servizio del crimine
L'intelligenza artificiale funge da catalizzatore per questi attacchi, fornendo "superpoteri" ai malintenzionati. La capacità di clonare una voce con pochi secondi di audio, o di generare email di phishing contestualmente perfette, rende le truffe estremamente convincenti e difficili da smascherare per un essere umano. L'IA democratizza la capacità di impersonare figure autorevoli, come un CEO o un responsabile IT, superando le barriere della diffidenza istintiva. La tecnologia, quindi, non è solo uno strumento, ma un vero e proprio amplificatore della capacità di manipolazione psicologica.
Se un dipendente riceve una telefonata dal suo capo con una richiesta di azione, come un pagamento, sarà molto più propenso a eseguire. Solo con una formazione continua si può ottenere il giusto grado di diffidenza.
Parallelamente, i criminali hanno affinato le loro tecniche di evasione. Studiano le loro vittime, il software che utilizzano, la struttura organizzativa e persino i valori aziendali per personalizzare l'attacco. Questo livello di preparazione, un tempo appannaggio di gruppi di spionaggio governativo, è ora diffuso nel mondo del crimine commerciale. Hanno imparato come eludere il rilevamento degli strumenti di sicurezza, come ottenere privilegi più elevati una volta entrati in rete (privilege escalation) e come muoversi lateralmente tra i sistemi per raggiungere gli asset più preziosi.
Le piattaforme cloud e i software CRM come quelli di Salesforce o Workday sono bersagli privilegiati. Essendo il cuore delle operazioni di molte aziende, contengono dati di contatto di clienti, informazioni commerciali e dettagli finanziari. L'accesso a questi sistemi, ottenuto tramite l'inganno di un singolo dipendente, può avere conseguenze devastanti. La strategia non è più quella di un attacco "mordi e fuggi", ma di un'infiltrazione persistente finalizzata a un'estorsione mirata o a un furto di dati su larga scala.
L'ecosistema criminale si autoalimenta. Nei forum clandestini non si vendono solo strumenti, ma anche tecniche, servizi e formazione. Si è passati dalle bravate adolescenziali e dall'hacktivism a un'impresa criminale organizzata e collaborativa. La condivisione di conoscenze accelera l'evoluzione delle minacce, rendendo le difese tradizionali rapidamente obsolete e costringendo le aziende a un continuo inseguimento.
Ridefinire le strategie di difesa aziendale
Per contrastare l'impersonificazione-come-servizio, le aziende devono adottare una postura di sicurezza che vada oltre la tecnologia. La difesa inizia con la revisione e il rafforzamento dei processi interni. Per tutte le operazioni ad alto rischio, come i bonifici bancari o l'accesso a dati critici, è imperativo implementare protocolli di verifica multi-canale. Una richiesta ricevuta via email deve essere confermata tramite un canale diverso, come una chiamata a un numero di telefono precedentemente verificato. La fiducia non può più essere implicita, ma deve essere esplicitamente verificata.
La formazione dei dipendenti deve essere radicalmente aggiornata. Non basta più un corso annuale sul phishing. È necessaria una formazione continua e basata su simulazioni realistiche che includano tentativi di vishing (phishing vocale) e deepfake. I dipendenti devono essere formati a riconoscere le tattiche di manipolazione psicologica, come l'urgenza ingiustificata o l'appello all'autorità, e incoraggiati a segnalare qualsiasi richiesta sospetta senza timore di ripercussioni. La resilienza umana è la prima linea di difesa.
Le soluzioni tecnologiche devono evolvere di pari passo. Oltre agli antivirus e ai firewall, servono strumenti basati sull'intelligenza artificiale in grado di analizzare i modelli di comunicazione e rilevare le anomalie comportamentali, o identificare un'email che, pur essendo priva di malware, presenta uno stile di scrittura o una richiesta insolita per il presunto mittente. La protezione deve spostarsi dal perimetro della rete all'identità digitale e al contesto di ogni singola interazione.
La progressiva digitalizzazione dei processi lavorativi ha creato efficienza, ma ha anche esposto le organizzazioni a nuove vulnerabilità. La velocità delle comunicazioni moderne spesso sacrifica i controlli incrociati che un tempo fungevano da barriera naturale contro le frodi. L'ascesa di modelli criminali industriali come l'IaaS ci costringe a riconsiderare la sicurezza non come un costo, ma come un prerequisito fondamentale per operare in un mondo digitale dove l'identità è diventata un bene negoziabile e la fiducia un vettore di attacco.