Fase 3: Sfruttare la fiducia dell'utente. La vittima — sia un utente umano sia un agente IA autonomo — segue il link generato dall'IA e cade nella trappola . Quando un feed di sicurezza tradizionale segnala il dominio come malevolo, il danno è spesso già stato fatto
.
Questa tecnica rappresenta un'evoluzione significativa rispetto al cybersquatting tradizionale. Il cybersquatting classico sfrutta gli errori di battitura umani o domini molto simili, come "netflix-payments[.]com" . Il phantom squatting, invece, sostituisce l'errore umano con l'allucinazione dell'IA, trasformando il difetto stesso del modello nel vettore d'attacco
.
Palo Alto Networks non ha divulgato pubblicamente i nomi di marchi o domini specifici colti in campagne di phantom squatting, ma diversi pattern documentati forniscono un quadro concreto .
Imitazione dell'assistenza clienti. Il phantom squatting può essere usato per creare link di phishing che imitano URL legittimi di brand o di supporto generati da un sistema di IA . L'attacco sfrutta il fatto che gli utenti tendono a fidarsi di più di un link quando sembra provenire da un assistente IA
.
Phishing e squatting a tema IA. Palo Alto Networks ha segnalato un boom di tecniche malware tradizionali che sfruttano l'interesse per IA e ChatGPT . Tra novembre 2022 e aprile 2023, Unit 42 ha osservato un aumento del 910% nelle registrazioni mensili di domini legati a ChatGPT, e fino a 118 rilevamenti giornalieri di URL malevoli a tema ChatGPT
. L'obiettivo degli aggressori è attirare gli utenti di ChatGPT su siti apparentemente correlati, ma progettati per infettarli
.
Tecnica correlata: "Slopsquatting". Una variante parallela che colpisce la supply chain — chiamata slopsquatting — prende di mira i nomi di pacchetti software allucinati dall'IA invece dei nomi di dominio . In questo modello, gli aggressori identificano nomi di pacchetti inventati che gli LLM raccomandano frequentemente per attività di coding, li registrano su repository pubblici come npm, PyPI o RubyGems e ci infilano malware
. Quando uno sviluppatore chiede una soluzione a un assistente IA, questo suggerisce con sicurezza il pacchetto fantasma, e lo sviluppatore lo installa fidandosi del tono autorevole dell'IA
. Una ricerca su 16 modelli ha scoperto che circa il 19,7% dei pacchetti raccomandati dagli strumenti di coding IA era completamente inventato: oltre 205.000 nomi di pacchetti allucinati
.
Palo Alto Networks delinea diversi livelli difensivi per mitigare il rischio di phantom squatting:
1. Monitoraggio proattivo dei domini. Le organizzazioni dovrebbero monitorare i domini sospetti. I sistemi basati su LLM possono essere usati anche in difesa: la ricerca su DomainLynx ha dimostrato che un sistema IA composito ha raggiunto una precisione del 94,7% su un dataset di 1.649 domini di squatting, rilevando 34.359 domini di squatting da 2,09 milioni di nuovi domini in un test reale della durata di un mese .
2. Filtraggio dei Nuovi Domini Registrati (NRD). Advanced DNS Security di Palo Alto Networks include una firma per i Nuovi Domini Registrati (UTID 109020001) . I domini appena registrati sono quelli aggiunti di recente da un operatore TLD o che hanno cambiato proprietà negli ultimi 32 giorni; molti vengono usati per attività malevole come gestire server di comando e controllo o distribuire malware
.
3. Protezioni a livello DNS. I controlli di sicurezza DNS possono ispezionare o bloccare il traffico verso domini rischiosi, inclusi gli NRD spesso abusati in phishing e ingegneria sociale . Advanced URL Filtering (AURL), basato su Precision AI e rilevatori deep learning in tempo reale, è in grado di identificare e bloccare domini di phishing mai visti prima mentre emergono
.
4. Educazione degli utenti e verifica degli output dell'IA. Gli utenti dovrebbero trattare gli URL generati dall'IA con cautela e verificare gli output critici tramite revisione umana, database affidabili, API o knowledge base curate . Incrociare le risposte del modello con fonti autorevoli è fondamentale per qualsiasi caso d'uso ad alto rischio
.
5. Guardrail per gli agenti IA. Gli agenti autonomi e i flussi di lavoro assistiti dall'IA dovrebbero convalidare URL generati, nomi di pacchetti e altre risorse esterne confrontandoli con fonti attendibili prima di recuperarli, installarli o agire su di essi . Questo è particolarmente importante per gli assistenti di codifica, dove la variante slopsquatting rappresenta un rischio diretto per le pipeline di sviluppo
.
Il phantom squatting è una minaccia pratica e in crescita che trasforma un noto difetto dell'IA — l'allucinazione — in un'arma contro gli utenti che si fidano dei contenuti generati dall'IA . L'attacco sfrutta proprio la caratteristica che rende utili gli LLM: la loro capacità di generare contenuti plausibili con sicurezza, anche quando il riferimento sottostante non esiste. Per difendersi, le organizzazioni hanno bisogno di un approccio a più livelli che combini monitoraggio proattivo dei domini, filtraggio DNS/NRD rigoroso, educazione degli utenti e guardrail per gli agenti IA che trattino gli URL generati dall'IA come non affidabili fino a verifica indipendente
.