Il mondo dell’intelligenza artificiale (AI) sempre più in evoluzione attrae l’interesse dei criminal hacker. La nuova frontiera degli attacchi informatici porta il nome di deepfake phishing. Il rischio che possa diventare una potente arma per carpire dati o informazioni è un pericolo concreto per le aziende.

Cosa dobbiamo aspettarci da questo nuovo volto del cybercrime? Scopriamolo insieme.

Deepfake phishing e cybercrime: perché preoccuparsi?

Quando senti parlare di deepfake, probabilmente pensi a un fenomeno che interessa solo le celebrità, ma a partire da ora dovresti pensare anche al tuo capo.

Rinfreschiamo un po’ la memoria: cosa sono i deepfake? Come spiega bene il Garante Privacy, “i deepfake sono foto, video e audio creati grazie a software di intelligenza artificiale (AI) che, partendo da contenuti reali (immagini e audio), riescono a modificare o ricreare, in modo estremamente realistico, le caratteristiche e i movimenti di un volto o di un corpo e a imitare fedelmente una determinata voce” (leggi anche il nostro approfondimento sul perché usare un deepfake può costituire un reato e il nostro approfondimento specifico sul deepfake porn).

La parola deepfake è un neologismo nato dalla fusione dei termini “deep learning”, una particolare tecnologia AI e “fake news” falsa notizia. Deepfake e fake news hanno molto in comune: in entrambi i casi si tratta di contenuti digitali falsi diffusi in rete.

Per comprendere meglio come funzionano queste tecnologie basta pensare alle varie app che stanno spopolando nel web con cui puoi modificare la tua voce, invecchiare il viso, assomigliare a una Barbie e molto altro.

L’uso della AI può essere davvero divertente, però anche molto pericoloso. Oltre ai rischi connessi alla possibile violazione della privacy, queste tecnologie possono essere utilizzate da soggetti malintenzionati per commettere illeciti di varia natura. Revenge porn, cyberbullismo, furto d’identità, frodi finanziarie sono solo alcuni di questi. In più, non si può trascurare come un volto ben riprodotto possa, per esempio, essere utilizzato per aggirare sistemi di sicurezza basati su dati biometrici.

Di recente in Ucraina è stato diffuso un video in cui il leader Volodymyr Zelensky esortava i cittadini e i militari ad arrendersi ai russi. Il video è stato etichettato in poco tempo come falso, ma con tutti i rischi che un tentativo simile può comportare in questo momento storico.

La gravità di questo evento dimostra ancora di più quali implicazioni pericolose può avere l’uso malevolo di questa tecnologia.

Deepfake phishing: i rischi per le aziende

Il phishing è da tempo il tormento dei responsabili IT aziendali. Misure su misure di sicurezza, e poi basta un “click” su un allegato sbagliato per mandare in tilt i sistemi. In più, oggi, grazie all’AI si sta aprendo una nuova possibilità: il deepfake phishing.

Non c’è dubbio che questa nuova interpretazione di una vecchia formula di attacco possa essere la più pericolosa di sempre.

Perché usare i deepfake per il phishing?

È pacifico che ad oggi gli attacchi effettuati tramite phishing rimangono tra i favoriti perché efficaci ed in grado di colpire in pochissimo tempo un elevato numero di vittime.

Il phishing è lo strumento con cui l’hacker persegue i suoi obiettivi (es. furto di credenziali, furto di informazioni) con l’indispensabile collaborazione della vittima. Quest’ultima in un modo o nell’altro fa la sua parte. E la persona, si sa, è ancora l’anello più debole nella catena della sicurezza.

L’email è il canale perfetto per mettere in atto questo tipo di attacco essendo uno strumento largamente utilizzato e facile da sfruttare. I deepfake in questo scenario giocano un importante ruolo: arricchiscono e rendono più veritiero l’attacco, eludendo così le classiche misure di sicurezza.

Che si tratti di un profilo Facebook, Linkedin o un account di posta elettronica aziendale, gli hacker trovano il modo di studiare le vittime, il loro comportamento e comprendere i flussi di lavoro interni all’azienda. In questo modo possono sfruttare le persone e i momenti più vulnerabili.

Dall’immaginazione alla realtà: la truffa del CEO

Se non è chiaro in che modo questa tecnologia possa diventare pericolosa per un’azienda, vediamo una delle tecniche di attacco più insidiose: la truffa del CEO.

Nota anche come Business Email Compromise (BEC), questa truffa è un attacco informatico estremamente mirato. L’hacker, fingendosi il CEO (o un’altra figura manageriale) della Società, si inserisce in conversazioni di posta elettronica già esistenti, iniziando una corrispondenza con utenti che hanno abitualmente contatto con la persona a cui ha rubato l’identità, portandoli a compiere determinate azioni.

Facciamo un esempio. L’hacker prende possesso dell’account di posta elettronica dell’amministratore delegato e invia una e-mail al responsabile amministrativo chiedendogli di effettuare una transazione di denaro urgente. Per rendere la truffa ancora più realistica, a seguito dell’invio dell’e-mail, contatta la vittima con una telefonata o un messaggio audio (deepfake audio) in cui camuffa la voce del CEO. Il responsabile amministrativo, tranquillizzato dalla chiamata, effettua la transazione. I soldi finiscono in un conto all’estero e in breve tempo se ne perdono le tracce.

Questo è uno dei modi in cui il deepfake viene utilizzato per i crimini informatici e colpire le aziende.

È alquanto significativo il caso di un attacco di tipo vishing e CEO fraud realizzato ai danni di un amministratore delegato di una celebre società britannica, fornitrice di energia elettrica, a cui un gruppo di criminali ha estorto più di 200 mila euro utilizzando un software che aveva permesso loro di imitare la voce di un suo superiore. La riproduzione era così convincente che il CEO non ha avuto il minimo dubbio. Solo in seguito, quando ormai era troppo tardi, si è accorto di essere stato oggetto di truffa.

È possibile contrastare il fenomeno del deepfake phishing?

Anche se al momento la complessità e i costi legati alla creazione di deepfake sembra ritardare la rapida diffusione di questa tecnologia, l’attenzione deve essere mantenuta alta. È un pericolo remoto ma concreto.

Dunque, la sfida in termini di prevenzione e sicurezza per le aziende è molto importante.

Il modo migliore per rilevare i deepfake è combattere il nemico con la stessa arma, utilizzando, quindi, tecniche di machine learning con algoritmi di intelligenza artificiale in grado di identificare con certezza un contenuto rielaborato. I grandi colossi del mondo digitale stanno già studiando e applicando diverse metodologie per il contrasto al fenomeno.

La tecnologia però non rappresenta l’unica soluzione per proteggersi dai deepfake.  Ci sono anche altre misure di sicurezza che le aziende possono adottare per scongiurare la minaccia.

Come difendersi dal deepfake phishing: la security awareness

Al di là delle tradizionali misure tecniche che un’azienda può implementare (es. sistemi di protezione della posta elettronica), la difesa più efficace per fronteggiare gli attacchi cyber basati sul social engineering (o ingegneria sociale) consiste nel sensibilizzare e rendere consapevoli delle minacce i potenziali destinatari di tali attacchi.

La formazione in questo ambito è tanto efficacie quanto è continua e rapportata alle reali minacce. È importante, quindi, attivare nelle persone il meccanismo del “human as a security sensor, in cui l’utente è consapevole e in grado di riconoscere in autonomia il deepfake, che non riuscirebbe ad essere intercettato in altro modo.

Ci sono, inoltre, diversi tool o piattaforme attraverso le quali l’azienda può simulare periodicamente campagne di phishing. Questo è utile per misurare il grado di sensibilità del personale a questa tipologia di attacco e il grado di esposizione dell’azienda ai rischi cyber, andando così ad intervenire dove necessario con specifiche misure di sicurezza.

Come riconoscere un deepfake?

Non è sempre facile riconoscere un deepfake. In molti casi, l’audio o il video sono riprodotti talmente bene che ingannerebbero chiunque. Dunque, bisogna fare attenzione ai particolari.

Quelli che riportiamo di seguito sono dei buoni indizi per riconoscere un deepfake:

  • immagine pixellata, cioè un pò sgranata o sfocata;
  • occhi che si muovono in modo innaturale o in alcuni casi rimangono aperti senza mai battere le ciglia;
  • bocca deformata o troppo grande mentre la persona dice alcune cose;
  • luci od ombre anormali, specialmente sul viso;
  • audio che appare in differita rispetto al labiale e anche la scarsa qualità della riproduzione.

Per quanto riguarda gli audio deepfake, se riprodotti bene, l’unica cosa che ci può far dubitare è la marcata differenza nel tono di voce della persona che sta parlando rispetto alla voce reale. In questo caso è importante fare attenzione al linguaggio utilizzato dall’interlocutore e considerare di porre una domanda di sicurezza a cui solo la persona reale saprebbe rispondere.