Associati
Sfide e soluzioni per contrastare una delle più insidiose minacce emergenti
A cura di Fabio Ugoste
Negli ultimi anni, lo scenario delle minacce cyber (il cosiddetto cyber threat-landscape) è diventato sempre più complesso e sofisticato. Facendo leva su tecniche e strumenti resi disponibili dalla sempre più rapida innovazione tecnologica, i cybercriminali hanno perfezionato le loro tecniche offensive per sferrare attacchi informatici con fini malevoli: un esempio è l’utilizzo dell’intelligenza artificiale (AI).
Una delle minacce più insidiose e difficili da contrastare, tra quelle che sfruttano, l’intelligenza artificiale è quella detta deepfake. Questa tecnica rappresenterà una sfida crescente nei prossimi anni, come evidenziato nella recente pubblicazione di ENISA sulle prospettive delle minacce informatiche per il 2030.
Il termine deepfake deriva dalla combinazione del concetto di “deep learning”, la tecnologia alla base dell’apprendimento automatico dei sistemi informatici, e “fake”, poiché gli algoritmi impiegati mirano ad emulare input reali per creare contenuti multimediali contraffatti. L’intelligenza artificiale generativa, addestrata su contenuti multimediali reali reperiti da fonti reali e legittime, può produrre video, immagini e file audio così realistici da rendere sfidante per gli utenti la distinzione tra ciò che è un contenuto digitale originale da ciò che è deepfake (o finto).
I contenuti fraudolenti così’ creati vengono poi diffusi tramite e-mail, messaggi istantanei, social media e videochiamate, e utilizzati per diffondere notizie false o per cercare di portare a termine truffe ai danni di aziende e persone, richiedendo, per lo più, l’esecuzione di transazioni di denaro.
Le istituzioni finanziarie sono tra i bersagli più frequenti di questi attacchi, soprattutto a causa delle ingenti somme di denaro che movimentano giornalmente e della mole di dati in loro possesso. In questo contesto, focalizzandoci sul mondo bancario e finanziario, i deepfake vengono utilizzati principalmente per perpetrare truffe bancarie, ma possono essere usati anche per diffondere informazioni false al fine di compromettere la reputazione aziendale e creare turbative sui mercati.
Recentemente, ci sono stati tentativi di truffa in cui gli hacker hanno utilizzato la tecnica del deepfake per impersonare il CEO di un’azienda, richiedendo l’esecuzione di operazioni di pagamento urgenti e riservate, sfruttando canali di contatto non aziendali (per esempio, contattando i collaboratori tramite messaggistica istantanea), ingannando così il personale aziendale e inducendolo a compiere trasferimenti di denaro verso IBAN fraudolenti. Questi attacchi sono solitamente mirati e richiedono un’analisi approfondita del tessuto aziendale prima di essere portati a termine. Ciò che rende realistico e credibile il deepfake non è solo la tecnologia impiegata per produrlo, ma anche la profonda conoscenza che gli hacker riescono ad ottenere rispetto all’ambiente aziendale.
Questa attenta analisi fondata sull’osservazione del potenziale target contribuisce ad aumentare la probabilità che le vittime cadano nel tentativo di truffa, rendendo così efficaci le tecniche di manipolazione psicologica, note come social engineering, il cui scopo è, in sintesi, instaurare nella vittima un senso di fiducia nei confronti del truffatore.
Al fine di contrastare questi fenomeni, è assolutamente necessario che aziende e istituzioni investano in tecnologie avanzate e programmi di sensibilizzazione e formazione fornendo alle persone gli strumenti utili a riconoscere queste minacce. Oltre a ciò, è necessario migliorare i processi aziendali, creando meccanismi procedurali di controllo e sistemi tecnico-organizzativi, che possano garantire un adeguato livello di sicurezza. Queste diverse forme di prevenzione e controllo contribuiscono a mitigare i potenziali grandi rischi derivanti dall’innovazione tecnologica.
Infatti, se da un lato l’evoluzione tecnologica può introdurre nuove minacce, dall’altro può fornire le tecniche di difesa.
In particolare, l’AI può essere utilizzata per esaminare la qualità dei contenuti multimediali per scorgere tracce di manipolazione: per esempio analisi delle risoluzioni video o delle condizioni ambientali o ancora dei dettagli visivi, permette di individuare possibili alterazioni nella qualità, luminosità e nei particolari delle immagini.
Oltre a ciò, è altrettanto fondamentale strutturare processi aziendali lineari e ben comprensibili che mettano i dipendenti nelle migliori condizioni per contrastare i deepfake. L’organizzazione deve favorire la chiarezza e la consapevolezza tra tutti gli attori coinvolti nei processi, riducendo le ambiguità che potrebbero essere sfruttate dagli attaccanti per i loro scopi malevoli. Infatti, processi chiari e ben definiti permettono la loro corretta applicazione anche in situazioni di urgenza, prevenendo il rischio di raggiri tramite richieste ingannevoli da parte di falsi superiori gerarchici che mirano ad utilizzare strumenti al di fuori della consuetudine aziendale (es. utilizzo di messaggistica istantanea). Per questo motivo, i processi di controllo devono prevedere l’esecuzione di determinate operazioni esclusivamente tramite strumenti aziendali; ad esempio, i dipendenti devono avere chiaro che è sconsigliato/vietato dare seguito a richieste di esecuzione di operazioni, tipicamente di pagamento, effettuate su canali alternativi a quelli aziendalmente previsti.
I dipendenti devono quindi essere preparati a identificare richieste sospette ed a verificare l’autenticità delle comunicazioni, soprattutto quando queste avvengono tramite telefonate o strumenti di messaggistica istantanea (in generale canali non usuali). Ad esempio, di recente, un manager di una nota casa automobilistica, sospettando un tentativo di deepfake, ha smascherato una impersonificazione del CEO ponendo una domanda personale al suo interlocutore. Questo ha indotto i malintenzionati a desistere dall’attacco.
La formazione sui rischi e sulle modalità per riconoscere i deepfake, incluse le simulazioni di attacchi che utilizzano questa tecnica, deve quindi diventare parte integrante dei programmi di sviluppo della cultura relativa alla sicurezza informatica e, più in generale, alla sicurezza all’interno delle organizzazioni.