Bastano 30 minuti e i tuoi dati online diventano una truffa perfetta: l’allarme sull’IA e LinkedIn

Un semplice profilo social può trasformarsi in una miniera d’oro per i cybercriminali. È quanto emerge da un esperimento condotto dal team di ricerca di TrendAI, che ha sviluppato uno strumento capace di raccogliere dati pubblici da LinkedIn e convertirli in attacchi di phishing altamente personalizzati in meno di mezz’ora.

Powered by

Il sistema, basato su intelligenza artificiale, analizza automaticamente post, immagini e metadati presenti nei profili pubblici, ricostruendo identità professionali dettagliate: ruolo aziendale, interessi, relazioni e persino il livello di influenza all’interno di un’organizzazione. Tutto questo senza violare la privacy, ma utilizzando esclusivamente informazioni accessibili a chiunque.

Finto maresciallo raggira una 73enne, arrestato a Torino dopo un inseguimento

La truffa dell'auto coinvolta in una rapina finisce con un arresto al casello di Trofarello, recuperati oro e contanti sottratti all'anziana

Il cuore del progetto è un Proof of Concept (PoC) che dimostra quanto sia diventata semplice l’attività di OSINT (Open Source Intelligence). Se in passato servivano competenze avanzate e molto tempo, oggi l’AI consente di automatizzare l’intero processo, abbattendo costi e barriere tecniche.

Un passaggio chiave riguarda l’analisi delle immagini: non solo riconoscimento visivo, ma interpretazione del contesto. L’algoritmo è in grado di dedurre eventi, interessi e reti di contatto, integrando testo e foto in un’unica fonte informativa estremamente ricca. Da qui, il sistema individua i temi più rilevanti per ogni utente, che diventano la base per costruire messaggi credibili.

È proprio su questo che si fonda lo spear phishing, una forma evoluta di truffa digitale: a differenza delle campagne massive e generiche, ogni email viene progettata su misura per la vittima, citando esperienze reali, progetti e attività professionali. Il sistema riesce anche a ipotizzare indirizzi email aziendali analizzando i formati più comuni, aumentando così le probabilità di successo.

L’ultimo step è la creazione di un sito web falso, costruito ad hoc e coerente con il profilo della vittima. In pochi minuti, l’AI genera pagine complete di contenuti, immagini e riferimenti tecnici credibili, pronte a ingannare l’utente e spingerlo a inserire dati sensibili o scaricare file.

Falsi rinnovi della tessera sanitaria via email: l’allarme del Ministero della Salute

Email sospette che rimandano a un sito clone, ideato per rubare dati personali e coordinate bancarie.

Il dato più preoccupante riguarda i tempi: l’intero processo, dalla raccolta delle informazioni alla realizzazione dell’attacco, richiede meno di 30 minuti ed è stato eseguito da una sola persona. Secondo i ricercatori, lo sviluppo dello strumento ha richiesto poco più di un giorno di lavoro.

Questo scenario evidenzia un cambiamento profondo nel panorama della sicurezza informatica: la combinazione tra dati pubblici e AI rende gli attacchi più rapidi, accessibili e difficili da individuare. In pratica, ogni contenuto condiviso online (dalle esperienze lavorative agli eventi) può diventare materiale utile per costruire truffe sempre più sofisticate e mirate.