I cosiddetti deepfake sono contenuti digitali (immagini, audio e video) che vengono generati tramite software sfruttando le tecniche di apprendimento automatico e deep learning. Partendo da una serie di files originali, le applicazioni di artificial intelligence (AI) possono infatti modificare o riprodurre, in modo estremamente realistico, le caratteristiche anatomiche, i movimenti e addirittura la voce di una persona.
Grazie alla crescente sofisticazione tecnologica, gli artefatti sono spesso elaborati così accuratamente da sembrare autentici e ingannare anche il più acuto osservatore. Le potenzialità del deepfake ovviamente non sono sfuggite ai criminali informatici, che oggi impiegano i contenuti creati dall’intelligenza artificiale per condurre attività malevole.
Il Deepfake Phishing, ad esempio, è una forma avanzata di attacco informatico che, sfruttando audio e video manipolati artificialmente, permette di raggirare le vittime e quindi utilizzare l’ingegneria sociale per estorcere informazioni sensibili (credenziali di accesso, numeri delle carte di credito, dati bancari e così via).
La commistione delle tecnologie AI con le tecniche hacker più raffinate, che fanno leva sul fattore umano, può essere fatale per moltissime organizzazioni: basta solamente che un dipendente o un collaboratore compia un’azione incauta, una distrazione o una leggerezza, e i criminali potranno guadagnare accesso ai sistemi aziendali e alle informazioni riservate.
Come è possibile mitigare i rischi del Deep Phishing e proteggere il patrimonio informativo dalle mire degli hacker? Gli esperti di Cyber Guru, società italiana che offre programmi di formazione per la security awareness, offre un punto di vista sul problema.
Indice degli argomenti
Deepfake Phishing, come funziona in pratica
A inquadrare il fenomeno, all’interno del più ampio contesto della sicurezza informatica, è Maria Luisa Baciucco, Marketing Director Italia di Cyber Guru.
“Grazie ai progressi dell’intelligenza artificiale – afferma Baciucco – gli strumenti di riproduzione video e voce sono sempre più raffinati. Così, il Deep Phishing diventa un’ulteriore trappola che si aggiunge al già complicato scenario della cybersecurity. Secondo il rapporto Clusit, ad esempio, le modalità di attacco si stanno evolvendo anche sul vishing, ovvero l’attacco di phishing perpetrato tramite voice, quindi attraverso chiamate telefoniche o messaggi vocali. Utilizzare l’intelligenza artificiale per simulare una voce conosciuta e persuadere la vittima è una realtà sempre più frequente”.
Le potenzialità delle nuove tecniche infatti sono sbalorditive, come sottolinea Baciucco. Ad esempio, è possibile riprodurre perfettamente la voce del Ceo, con la stessa intonazione e uguale modo di parlare, per ingannare un collaboratore, spingendolo a dare informazioni o svolgere una qualsiasi altra azione.
“Episodi così – prosegue – sono già successi e le truffe spesso sono andate a segno, perché chiaramente la figura dell’amministratore delegato ha un peso diverso nel convincere le persone. Se si viene chiamati direttamente dal Ceo, si cerca di esaudire quanto prima la richiesta ricevuta”.
Come difendersi e valutare i contenuti falsi
Tuttavia, esistono degli indizi per capire che l’identità dell’interlocutore non è autentica e si tratta di un tentativo di vishing. “Ad esempio – dichiara Baciucco -, se la richiesta è particolarmente insolita, come il versamento di una grossa somma di denaro su un nuovo conto corrente, il sospetto dovrebbe nascere e bisognerebbe effettuare qualche verifica, prima di procedere”.
Inoltre, le immagini e le voci ricreate dall’artificial intelligence possono tradire qualche difetto e da alcuni dettagli si può capire che si tratta di un falso.
“Ci sono – interviene Simona de Rubis, Social Media Manager di Cyber Guru – degli attributi tipici che caratterizzano le immagini create dall’intelligenza artificiale, come il contrasto molto accentuato e i colori accesi. Esistono quindi degli aspetti peculiari che le persone possono imparare a riconoscere, ma chiaramente il punto è avere sempre uno sguardo allenato”.
La formazione è decisiva per mitigare i rischi
Ecco perché il training è fondamentale. “Il deepfake – precisa Baciucco – costituisce un modulo dei nostri percorsi formativi. Infatti, si possono sviluppare attività ad hoc che permettono di creare consapevolezza sul problema. Ad esempio, mostrando video falsi sulle celebrità e incoraggiando a un’osservazione più attenta, si evidenziano tutti gli elementi, come la mimica facciale o l’espressione degli occhi, per riconoscere la truffa”.
Il problema del deepfake però è soltanto la punta dell’iceberg. “Il deepfake – conclude de Rubis – rappresenta di per sé un pericolo perché genera falsa informazione. Se combinato al phishing e ai progressi dell’intelligenza artificiale, la miscela diventa davvero esplosiva. Le persone spesso non sono preparate a gestire le nuove minacce, in particolare in Italia dove la cultura digitale è poco sviluppata e la conoscenza nell’utilizzo degli strumenti informatici è scarsa. La pandemia ha aggravato lo scenario: i dipendenti, costretti a lavorare da casa, si sono trovati improvvisamente con nuove applicazioni da gestire, senza una dovuta preparazione. Creare awareness è pertanto fondamentale, anche per prevenire i potenziali rischi di un uso scorretto e poco consapevole”.
Contributo editoriale sviluppato in collaborazione con Cyber Guru