La nuova generazione degli attacchi informatici è rappresentata dai deepfake audio e, purtroppo, man mano che il mondo dell’AI e della tecnologia deepfake diventa sempre più complesso ed evoluto, il rischio che queste tecnologie nelle mani dei criminal hacker diventino un pericolo concreto per le organizzazioni aumenta.
Anzi, la crescente sofisticazione di software e algoritmi in questo campo ha già trovato la sua applicazione nel cyber crime. Questo significa che i criminal hacker sono già un passo avanti?
Indice degli argomenti
Deepfake audio: un attacco reale
La maggior parte di noi avrà familiarità con i principali metodi di attacco; che si tratti di phishing, attacchi ransomware o exploit di vario genere.
Tuttavia, il regno della criminalità informatica ha già fatto un grande balzo in avanti nel 2019, quando l’amministratore delegato di un’azienda attiva nel Regno Unito è stato vittima di una truffa costruita ad hoc con una telefonata basata proprio su un deepfake audio.
Credendo di parlare con il suo capo, la vittima ha inviato quasi 250mila dollari all’indirizzo dei criminal hacker, senza battere ciglio.
È questa la nuova frontiera del social engineering?
Le caratteristiche di un attacco mediante deepfake audio
La truffa della telefonata è, senza dubbio, una delle applicazioni più bizzarre della tecnologia deepfake.
Tuttavia, come abbiamo visto, è una di quelle che può essere chiaramente applicata con successo e in modo convincente.
Tanto che l’amministratore delegato che è caduto vittima del cyber attacco ha dichiarato che ha riconosciuto la voce del suo capo per il suo “leggero accento tedesco” e la “cadenza melodica”.
Come se non bastasse, a parte la sofisticata tecnologia, il processo che sta dietro alla costruzione dei falsi audio è sorprendentemente semplice.
Ai criminal hacker è bastato modificare la tecnologia di machine learning in modo tale da clonare la voce di un individuo, di solito utilizzando spyware e dispositivi che permettono di raccogliere diverse ore di registrazioni della vittima che parla.
Più dati sono in grado di raccogliere – e migliore è la qualità delle registrazioni – più accurata e potenzialmente dannosa sarà in pratica la clonazione della voce.
Una volta creato un modello di voce, l’AI si mette al lavoro “imparando” a imitare il bersaglio.
Utilizzerà, quindi, le cosiddette reti avversarie generative (GAN): quei sistemi che competono continuamente l’uno contro l’altro dove uno crea un falso e l’altro cerca di identificare i suoi difetti.
Ad ogni nuovo tentativo, l’algoritmo è in grado di migliorare esponenzialmente sé stesso.
Questo processo continua fino a quando non si ottiene un’imitazione affidabile. Spesso l’AI ci riesce dopo aver analizzato anche solo venti minuti di registrazioni.
Per i target di alto profilo questa non è una buona notizia (pensiamo a CEO di grandi aziende); i loro discorsi vengono registrati online e condivisi tramite i social media, mentre le telefonate, le interviste e le conversazioni quotidiane sono relativamente semplici da ottenere.
Con un numero sufficiente di dati il livello di precisione raggiunto dai file audio deepfake è tanto impressionante quanto spaventoso e i criminali sono in grado di far dire all’AI quello che vogliono.
Attualmente, molti degli esempi registrati di truffe audio deepfake sono stati quelli che alla fine non hanno avuto successo nei loro obiettivi.
Il futuro del phishing?
Certo, oggi gli attacchi tramite phishing rimangono molto popolari – e di successo – con ben l’85% delle organizzazioni che si trovano ad essere prese di mira.
Tuttavia, una delle ragioni principali per cui il deepfake audio potrebbe trovare terreno fertile è la sua capacità di eludere la maggior parte delle misure di sicurezza classiche.
D’altronde, queste telefonate generate dall’AI dipendono esclusivamente dall’errore umano e dalla fiducia… ed è questo che le rende potenzialmente così pericolose.
Se a questo aggiungiamo che anche gli smartphone che teniamo sempre a portata di mano non sono così sicuri come crediamo, non è difficile vedere una moltitudine di modi in cui i cyber aggressori potrebbero aggirare le nostre difese.
Ci sono due principali ostacoli, a mio parere, alla diffusione massiccia di questa tecnologia al momento.
Il primo è che ancora non ha scalato la vetta del rapporto costo-beneficio: una botnet che spedisce mail di phishing è in grado di inviare milioni di mail in breve tempo.
Il deepfake audio richiede tempo di studio del bersaglio e tempo di elaborazione. Nello stesso lasso, i classici metodi di criminal hacking riescono a fruttare di più.
Il secondo è che, anche se è vero che le misure di cyber security AI driven in grado di riconoscere i pattern di un deepfake sono ancora in fase di sperimentazione, esiste già un metodo molto analogico per debellare la minaccia: se non si è sicuri, basta riagganciare.
La maggior parte delle truffe deepfake viene effettuata con l’uso di un account VoIP, creato per contattare gli obiettivi per conto criminal Hacker.
Richiamando, le vittime dovrebbero essere in grado di capire subito se stavano parlando con una persona reale o meno.
Come difendersi dai deepfake audio
Certo, per arrivare a questo livello è necessario il giusto allenamento. Stiamo parlando di formazione, corsi di awareness o comunque di sensibilizzazione sull’argomento.
Attualmente, le truffe mediante deepfake audio sono apparentemente uno spauracchio del futuro, con la tecnologia semplicemente non abbastanza diffusa da essere una preoccupazione di vasta portata per la maggior parte delle organizzazioni.
Detto questo, è probabile che la situazione cambierà nel prossimo futuro.
I progressi dell’AI si evolvono a un ritmo impressionante e la tecnologia che rende possibile il deepfaking sta diventando più accessibile e più facile da usare (basti pensare alle app che sono disponibili in questo senso).
Il miglior consiglio al momento è quello di rimanere vigili e preparati, poiché le truffe mediante deepfake audio potrebbero diventare il prossimo grande problema da affrontare per la cyber security.
Non abbassiamo la guardia!
