Il deepfake cristallizza le sofisticate capacità che gli hacker sanno mettere in campo per sferrare offensive che lasciano di stucco. Quanto è successo alla Ferrari però dimostra che le più elevate tecniche digitali possono essere smorzate da una semplice domanda, la più analogica delle forme di comunicazione. E questo, come vedremo, vale tanto per le imprese quanto per i singoli cittadini.
Questo dimostra ancora una volta che nessuna infrastruttura di cyber difesa è veramente completa se l’operatore umano non ha una seppure minima cognizione dei rischi a cui si è esposti.
L’ingegnere Pierluigi Paganini fornisce spunti interessanti per stemperare le lame degli hacker. Ma andiamo con ordine.
Indice degli argomenti
Deepfake e Ferrari, i fatti
La storia è stata raccontata da Bloomberg e la riprendiamo in modo succinto qui. Un dirigente della Ferrari ha ricevuto diversi messaggi WhatsApp provenienti da un numero sconosciuto. A mandarli sarebbe stato l’amministratore delegato dell’azienda, Benedetto Vigna.
Il primo messaggio suggeriva al dirigente che fosse in corso un’importante acquisizione e che Vigna avesse bisogno del suo aiuto per portarla a compimento al riparo da occhi indiscreti, tant’è che avrebbe ricevuto a breve un accordo di non divulgazione da firmare e, non di meno, che l’autorità di regolamentazione del mercato e la Borsa di Milano fossero già al corrente dell’acquisizione stessa.
In seguito, l’uomo ha ricevuto una telefonata dal sedicente Vigna e, come ha riportato lo stesso dirigente, di primo acchito la voce sembrava essere proprio quella dell’amministratore delegato.
È bastata l’accortezza del dirigente per sventare la truffa. Per togliersi ogni dubbio ha chiesto a Vigna quale fosse il titolo del libro che gli aveva consigliato qualche giorno prima e il truffatore ha interrotto la telefonata.
Ora l’azienda Ferrari ha avviato un’inchiesta per stabilire eventuali responsabilità interne. Il danno economico e reputazionale è stato sventato e questo è ciò che più conta.
Gli indizi che hanno fatto una prova
I messaggi WhatsApp inviati al dirigente dal presunto Vigna provenivano da un numero diverso da quello dell’amministratore delegato e anche la foto del profilo non era quella usata di solito da Vigna.
La telefonata che ne è seguita proveniva da un numero anonimo e, benché la voce fosse quella di Vigna, il dirigente ha raccontato a Bloomberg che, prestando maggiore attenzione, era possibile sentire dei suoni metallici tra una parola e l’altra.
Questo lascia anche intuire che le voci (e anche i volti) ricreati tramite tecniche di deepfake non sono ancora perfetti e che, tenendo alta l’attenzione, si possono riconoscere come artificiali.
Va da sé che gli hacker avrebbero chiesto al dirigente di effettuare uno o più bonifici utili a chiudere l’acquisizione.
Non è la prima volta (e non sarà l’ultima)
Il deepfake, tecnica non alla portata di tutti ma neppure impossibile da mettere in pratica, ha già mietuto vittime. Lo scorso mese di settembre i due comici russi Vovan e Lexus hanno assunto i panni del presidente della Commissione dell’Unione africana Moussa Faki per telefonare a diversi leader europei. Una boutade che, però, di goliardico non ha niente, tant’è che ha aperto le porte anche a un dibattito critico attorno alla relativa facilità con cui le tecniche di deepfake possono essere adottate dai cosiddetti stati canaglia.
A febbraio del 2024, invece, un’azienda di Hong Kong è stata truffata con una falsa videoconferenza, tecnica di deepfake ancora più audace perché, oltre alle voci dei partecipanti, ne riprende in tutto e per tutto anche le sembianze fisiche. Un attacco che si è concluso con successo per gli hacker anche perché gli impiegati dell’azienda vittima non hanno fatto nulla per verificare la bontà delle richieste fatte dai dirigenti emulati dagli attaccanti durante la riunione, miscelando l’AI (i deepfake) e le debolezze umane.
Con il progredire delle Intelligenze artificiali anche il deepfake diventerà più preciso e restituirà voci e immagini che non lasceranno sorgere dubbi (o ne lasceranno sorgere sempre meno) perché di altissima qualità. Il rimedio non può essere quindi quello di scorgere piccole imperfezioni come quei lievi suoni metallici che hanno contribuito ad alimentare le perplessità del dirigente Ferrari.
I rimedi
L’ingegner Pierluigi Pagani, Ceo Cybhorus e membro Enisa Ad-Hoc Working Group on Cyber Threat Landscape, illustra un’opinione approfondita e propone anche delle modalità per arginare il rischio.
“Attacchi come quello sventato dalla Ferrari sono destinati ad aumentare in maniera sensibile a causa della maggiore disponibilità di strumenti e servizi ‘as-a-service’ che consentono ai criminali di creare deepfake senza particolari conoscenze e a costi irrisori.
Nel caso specifico il dirigente dell’azienda di Maranello si è insospettito perché evidentemente l’audio non era fluido ed era proveniente da un numero di telefono diverso da quello dell’Amministratore. Non si tratta di un attacco isolato, negli scorsi mesi un’azienda multinazionale di Hong Kong ha subito un attacco simile che ha portato al furto di circa 25 milioni di dollari”.
C’è spazio per la preoccupazione perché, in fin dei conti, l’attacco alla Ferrari è stato sventato da un dirigente zelante ma non da una procedura chiara e condivisa tra i dipendenti dell’azienda e, ancora prima, i singoli individui sono a loro volta esposti a rischi: “Personalmente sono molto preoccupato dai potenziali effetti di attacchi deepfake ai cittadini. Mentre le grandi imprese hanno strumenti a loro difesa, questo non accade con gli ignari cittadini. È davvero semplice prendere di mira una persona anziana fingendosi un parente e inducendola a fare dei versamenti o a consegnare contanti a qualcuno”, spiega Paganini.
Soprattutto nel caso dei cittadini la prevenzione può non essere sufficiente, perché gli hacker tendono a scuotere le corde emotive delle vittime, creando situazioni di emergenza ed elevandone il livello di stress.
Pierluigi Paganini consiglia una protezione più ampia: “La protezione contro gli attacchi deepfake richiede un approccio multilivello, che include formazione, soluzioni tecnologiche e nel caso di aziende, la definizione di politiche ed istruzioni di sicurezza approvate dal management e condivise con i dipendenti”.
Ed ecco alcuni metodi e strumenti così come sono elencati dall’esperto:
- Implementare politiche e procedure di sicurezza informatica che possano mitigare il rischio di attacchi di ingegneria sociale basati su contenuti falsi
- Formare i dipendenti sulle tecniche, tattiche e procedure adottate dagli attori malevoli dietro gli attacchi deep fake.
- Verificare sempre le fonti delle informazioni e dei contenuti che si ricevono. Si consiglia l’utilizzo di strumenti di verifica delle immagini e dei video per identificare contenuti manipolati. Esistono soluzioni basate su intelligenza artificiale e machine learning in grado di rilevare contenuti deep fake.
- Monitorare le comunicazioni interne ed esterne (email, messaggi su piattaforme di instant messaging e social network) per individuare tentativi di phishing o attacchi di deep fake.
- Monitoraggio degli alert emanati da aziende di sicurezza e agenzie governative circa attacchi deep fake”.
E, richiamando il terzo punto citato dall’ingegner Paganini, allestire procedure interne che impongano una rapida verifica. Per esempio, il dipendente di un’azienda che riceve una disposizione da un dirigente, può telefonargli a sua volta per essere certo che la richiesta sia partita proprio da lui.
Allo stesso modo, la persona anziana raggiunta da una telefonata con cui il ciarlatano di turo paventa un rischio imminente per il nipote, farebbe bene a telefonare direttamente a quest’ultimo per chiedere lumi.
