Sul sito del FBI è apparso un comunicato che ha l’obiettivo di mettere in guardia sulle tante frecce che le IA mettono nelle faretre degli hacker, tra truffe romantiche, deepfake audio e video, invio massiccio di campagne di phishing e nuova linfa per il social engineering.
Un problema reale che ha già dato manifestazione di sé soprattutto con le riunioni online deepfake e che non riguarda soltanto le truffe a singoli e a organizzazioni ma che è anche affine alla manipolazione dell’opinione pubblica.
I rimedi e le precauzioni, come vedremo più avanti, sono sempre i soliti ma poco o nulla possono in assenza della corretta postura digitale, di quella consapevolezza che pone le basi di ogni forma di prudenza.
Indice degli argomenti
Cosa dice il comunicato del FBI
In sintesi, il comunicato rende attenti gli utenti sul crescente pericolo delle frodi compiute con l’ausilio delle IA generative, capaci di ridurre gli sforzi e il tempo necessari ai cyber criminali per tessere tranelli e trappole sempre più perfezionate.
Per esempio, la traduzione dei testi delle email di phishing sono sempre più accurate e viene meno la possibilità di identificarle come tali grazie alle imperfezioni linguistiche e agli errori grammaticali.
Poiché può essere difficile identificare quando un contenuto è generato dall’IA, continua l’FBI, è utile capire come gli hacker possono utilizzare l’IA generativa nei loro schemi fraudolenti.
Cosa devono fare aziende e privati per difendersi
Le indicazioni fornite dal FBI sono tutto sommato ragionevoli e complete. In particolare, viene consigliato agli utenti di:
- Per quanto riguarda i video deepfake: osservare le sottili imperfezioni in immagini e video, come mani o piedi distorti, denti o occhi poco realistici, volti indistinti o irregolari, accessori irrealistici come occhiali o gioielli, ombre inaccurate, filigrane, ritardi nella corrispondenza tra voce e video e movimenti innaturali
- Per gli audio deepfake: ascoltare attentamente il tono della voce e la scelta delle parole dell’interlocutore per cercare di capire se è un audio reale oppure simulato da un’IA. Ciò vale sia per le telefonate sia per i messaggi vocali inviati tramite app di messaggistica istantanea. Allo stesso modo, quando il contenuto della conversazione richiede un’azione sensibili come, per esempio, la predisposizione di un bonifico o l’invio di informazioni private, è opportuno ricontattare l’interlocutore passando per canali ufficiali. Ciò significa chiamare il centralino dell’organizzazione per la quale lavora e non telefonargli direttamente al numero che ci ha eventualmente comunicato in prima persona.
- Per quanto riguarda le diverse forme di social engineering: è opportuno limitare la condivisione dei propri dati, incluse le fotografie, circoscrivendo i follower e i contatti sui social media alle persone che si conoscono direttamente e, parallelamente, mai condividere informazioni personali online o al telefono.
Ci sono altri due accorgimenti che sono salvifici a prescindere: il primo è la regola aurea secondo la quale non è prudente inviare denaro e beni a chi non si conosce di persona e senza avere fatto le opportune verifiche.
Inoltre, e ciò vale tanto per i singoli e le loro famiglie quanto per le aziende e i collaboratori più stretti, stabilire una domanda segreta utile a fugare ogni dubbio.
La ricetta analogica ai mali digitali
La cronaca recente rimanda all’episodio occorso a Maranello lo scorso mese di luglio – del quale abbiamo parlato qui – quando un dirigente, raggiunto da messaggi WhatsApp apparentemente inviati dall’ad della Ferrari Benedetto Vigna, ha sventato una truffa chiedendo al proprio superiore quale libro gli avesse consigliato di leggere qualche giorno prima.
Conoscere un dettaglio che può essere rivelatore o concordare una parola comune è una modalità analogica che può essere difficilmente aggirata o hackerata.
Il parere dell’esperto
Abbiamo chiesto all’esperto ICT e divulgatore Salvatore Lombardo come leggere l’intervento del FBI, anche per non creare un alone di allarmismo che non è sempre giustificato: “L’avviso del FBI sottolinea l’importanza di essere vigili e consapevoli dei rischi associati all’uso dell’intelligenza artificiale generativa attestando la minaccia come seria e diffusa”.
Quindi un invito rivolto alle persone fisiche e a quelle giuridiche affinché prendano coscienza dei rischi, niente più di questo.
È opportuno sapere quali derive stanno prendendo le offensive del cyber crimine senza esasperarle, anche perché considerare l’ipotesi di vagliare ogni contenuto per stabilirne l’autenticità, come spiega Lombardo, è proibitiva: “Esaminare ogni contenuto multimediale per verificarne l’autenticità può essere estremamente impegnativo (richiede risorse significative e competenze tecniche elevate, inoltre i criminali possono continuamente migliorare le loro tecniche per eludere tali verifiche) e non sempre garantisce risultati certi, soprattutto con l’avanzamento delle tecnologie dell’IA generativa”.
“La chiave è trovare un equilibrio tra l’uso di strumenti tecnologici e l’adozione di pratiche di sicurezza efficaci che non dipendano esclusivamente dalla verifica dei contenuti”, continua l’esperto. “Per esempio, utilizzare parole d’ordine o frasi segrete conosciute solo dalle parti coinvolte potrebbe aiutare a confermare l’identità dell’interlocutore. Anche campagne di diffusione della consapevolezza sui rischi associati all’IA generativa potrebbe migliorare la capacità di riconoscere i tentativi di frode”.
