Articles

Deepfake: l’evoluzione del social engineering

Deepfake: l’evoluzione del social engineering

16 Dec 2022

Il crescente impiego di piattaforme di videoconferenze e le varie forme di lavoro agile (smart working e remote working) adottate anche nel post emergenza covid rendono sempre più virtuali le collaborazioni interpersonali. Questo scenario senza dubbio deve imporre alle organizzazioni una adeguata preparazione per saper riconoscere tentativi di impersonificazione basati su attacchi di social engineering e phishing che risultano essere sempre più sofisticati grazie anche al rapido avanzamento della tecnologia deepfake: il semplice messaggio testuale di phishing potrebbe essere sostituito addirittura da una conversazione video allestita con tecnologia deepfake sempre allo stesso scopo di carpire informazioni e dati sensibili. Ad esempio un presunto dirigente collegato in videoconferenza e celato da tecnologia deepfake potrebbe chiedere (con una certa pressione e urgenza) ad un partner aziendale o ordinare ad un suo dipendente di eseguire una transazione bancaria apparentemente legittima ma che in realtà trasferisce il denaro a un conto fraudolento. 

Deepfake, definizione e tecnica di produzione

La parola deepfacke nasce da una combinazione dei termini “deep learning” e “fake”. Ci si riferisce sostanzialmente a prodotti audio/video digitali creati tramite intelligenza artificiale che potrebbero consentire di impersonare un individuo con somiglianza e voce anche durante una conversazione video. Ciò viene fatto attraverso metodologie di deep learning come il Generative Adversarial Network (GAN) ovvero un gruppo di modelli di rete neurale per l’apprendimento automatico, deputato ad insegnare ai computer come elaborare le informazioni emulando il cervello umano. Il GAN ​in particolare è costituito da due principali reti neurali gestite da singoli algoritmi di intelligenza artificiale nominati rispettivamente “generator” e “discriminator”. Secondo un ciclo continuo, ciò che fa il generator è quello di creare contenuti falsi inviandoli al discriminator, il quale confronta i contenuti con quelli falsi per identificarne le differenze. Fino a quando non viene generato un contenuto falso ottimale, il generator cercherà di eliminare queste differenze e di ingannare nuovamente il discriminator attraverso contenuti migliorati.  

Quali minacce incombono

L’accessibilità e l’efficacia della tecnologia deepfake (nata principalmente per l’impiego nell’industria cinematografica, ovviamente per scopi differenti) hanno portato il cyber crime a utilizzarla per attacchi di social engineering sofisticati allo scopo di estorsione, frode o arrecare danni reputazionali. 

Basti pensare all’impatto che potrebbe avere un attacco di phishing vocale replicando delle voci appartenenti alle parti interessate di un’azienda e utilizzarle per convincere i dipendenti a eseguire una serie di azioni che potrebbero portare a incidenti di sicurezza e privacy. Oppure all’efficacia di un attacco di phishing mirato (spear-phishing) seguito da una telefonata con voci simulate allo scopo di convincere un dipendente a inviare fondi a un determinato conto bancario presidiato dai criminali.

Ad aggravare ulteriormente la situazione c’è inoltre la reperibilità sia di tool deepfake, resi disponibili come servizio sui forum web clandestini, che rendono più semplice e conveniente l’allestimento di questi schemi di frode anche ad attori criminali con competenze tecniche limitate, sia di una grande quantità di immagini e video postati dagli utenti delle piattaforme social media che possono essere elaborati dagli algoritmi deep learning per generare per l’appunto contenuti deepfake.

Anche l’FBI mette in allerta dal deepfake

Anche l’FBI mette ad esempio in allerta riguardo all’ultima tendenza del cyber crime che tramite impersonificazione di candidati verosimili cercherebbe di rubare dati e commettere frodi, attraverso dei colloqui di lavoro deepfake. 

Secondo quanto riportato in un comunicato IC3 (https://www.ic3.gov/Media/Y2022/PSA220628) sarebbe stato registrato un aumento nel numero di tali attività da parte di truffatori che utilizzando una combinazione di video deepfake e dati personali rubati sarebbero riusciti a ottenere un impiego in una serie di posizioni di lavoro, offerto da remoto con un certo livello di accesso aziendale a dati e sistemi sensibili, allo scopo ultimo in realtà di infiltrare in azienda un criminale che una volta in possesso degli accessi amministrativi potesse perpetrare qualsiasi tipo di attività malevola.   

Alla luce di tutto questo numerosi potrebbero essere gli schemi di frode basati sul deepfake (limitati solo dalla fantasia) che potrebbero avere anche un pesante impatto economico come danno sul target. Ad esempio per creare un deepfake allo scopo di accedere a servizi online, richiedere carte di credito e prestiti o eseguire transazioni finanziarie potrebbero essere usati i dati di una persona deceduta o una identità inesistente costruita da una raccolta dati di persone reperiti sul web o da precedenti truffe o databreach noti.  

Cosa fare per proteggere dati, finanze e reputazione

Sebbene non esista ancora un modo semplice e sicuro per individuare i deepfake, ci sono comunque delle buone pratiche di prevenzione che potrebbero essere adottate:

  • aggiungere ulteriori processi di sicurezza e protezione. Avere metodi secondari di verifica come ad esempio un doppio processo di approvazione per le transazioni finanziarie, il tracciamento della corrispondenza e l’autenticazione a doppio fattore, dovrebbero essere sempre considerate una soluzione obbligata per prevenire qualsiasi tipo di truffa o attacco informatico;
  • utilizzare la stessa intelligenza artificiale per riconoscere il deepfake. Un sistema di intelligenza artificiale potrebbe essere in grado di riconoscere se un contenuto audio/video sia stato manipolato, confrontandolo rapidamente con campioni originali noti di riferimento o di rilevare un phishing video, convertendo la traccia audio in testo e analizzandolo per riconoscere l’eventuale illecito e decidere di approvare o meno una transazione di pagamento;
  • integrare il concetto di deepfake nel processo di valutazione dei rischi per tutti i canali e servizi digitali oltre che nella pianificazione dei possibili scenari di crisi;
  • valutare la stipula di una polizza assicurativa personalizzata. 

Sebbene la tecnologia continuerà a evolvere e diventerà sempre più difficile individuare i deepfake, fortunatamente miglioreranno anche le tecnologie di rilevazione. Ma il compito degli addetti ai lavori per proteggere meglio se stessi e la propria organizzazione da una varietà di attacchi informatici non dovrà essere solo quello di restare sempre aggiornati sulle evoluzioni delle tecniche di contrasto e di implementarle prontamente ma anche e soprattutto quello accrescere la consapevolezza all’interno della propria organizzazione puntando sulla formazione dei dipendenti di ogni ordine e grado. L’elemento umano andrebbe considerato sempre e comunque come il primo baluardo di difesa, anche e soprattutto, contro attacchi sofisticati e artificiali come il deepfake.




-Torna agli Articoli