Quando il deepfake viene utilizzato per fingersi un funzionario ucraino in una call su una piattaforma tra le più utilizzate, Zoom, insieme a un senatore americano.
È successo di recente al senatore Ben Cardin, presidente democratico della Commissione per le relazioni estere del Senato, che, a seguito di una mail di richiesta di incontro virtuale da parte di colui che si è spacciato per l’ex ministro degli Esteri ucraino, Dymtro Kuleba, già incontrato realmente diverse volte in precedenza, ha avviato il collegamento audio-video, risultato “coerente nell’aspetto e nel suono con gli incontri precedenti” da parte dell’ufficio di sicurezza del senatore.
Indice degli argomenti
La minaccia del deepfake
Ciò che ha insospettito il senatore Cardin sono state alcune domande a sfondo politico relative alle prossime elezioni e qualcosa anche sul suo appoggio o meno all’uso di missili a lungo raggio in territorio russo.
La chiamata, quindi, è stata interrotta e, come dichiarato dal direttore della sicurezza del Senato, Nicolette Llewellyn, è stato subito allertato il Dipartimento di Stato. Lo stesso Cardin ha così commentato l’accaduto: “Dopo aver capito immediatamente che l’individuo con cui stavo parlando non era chi diceva di essere, ho chiuso la telefonata e il mio ufficio ha agito rapidamente, allertando le autorità competenti […] La questione è ora nelle mani delle forze dell’ordine ed è in corso un’indagine approfondita”.
Eyal Benishti, CEO di Ironscales, ha affermato che: “A livello individuale, [i deepfake] possono portare a ricatti ed estorsioni […] Per le aziende, i deepfake comportano rischi di perdite finanziarie significative, danni alla reputazione e spionaggio aziendale. A livello governativo, minacciano la sicurezza nazionale e possono minare i processi democratici”.
Basti pensare alla robocall deepfake che era stata creata per impersonare il presidente Joe Biden con l’obiettivo di indurre i suoi sostenitori a rimanere a casa per ridurre l’affluenza alle urne, ma anche ai video deepfake del primo ministro britannico Keir Starmer e del principe William che circolavano sulle piattaforme Meta all’inizio di quest’anno per promuovere una piattaforma di criptovaluta chiamata Immediate Edge.
In quest’ultimo caso, i ricercatori che hanno studiato la campagna di disinformazione, che sfruttava personaggi famosi per far cadere in trappola le vittime, convincendole attraverso la credibilità di quei personaggi, dell’affidabilità della piattaforma promossa, ha raggiunto con i suoi annunci falsi quasi 900.000 persone, che hanno speso oltre 20.000 sterline sulla piattaforma.
Numeri preoccupanti del fenomeno deepfake
I numeri sul deepfake rendono l’idea di quanto sia efficace questo tipo di minaccia e quanto possa essere dannosa.
Secondo il rapporto di luglio di Trend Micro, l’80% dei consumatori coinvolti in un sondaggio aveva visto immagini deepfake e il 64% aveva visto video deepfake. Circa la metà dei consumatori intervistati aveva sentito parlare di clip audio deepfake, il 35% aveva subito in prima persona una truffa deepfake e un numero ancora maggiore aveva affermato di conoscere vittime di questa minaccia.
Come fa notare Benishti, “Questi attacchi stanno diventando sempre più sofisticati e spesso indistinguibili dalla realtà, grazie all’accessibilità degli strumenti di IA generativa”. E, aggiunge, il problema è che non ci sono ancora metodi infallibili che li possano smascherare facilmente.
Nel frattempo che la tecnologia si mette al passo, si può puntare sulla formazione degli individui e delle organizzazioni affinché si acquisiscano competenze e strategie necessarie al miglioramento nella gestione di questo tipo di minaccia: “I criminali informatici sfruttano le opportunità, indipendentemente dallo status, il che significa che chiunque potrebbe essere un bersaglio […] È fondamentale che tutti, non solo le figure di spicco, stiano all’erta e siano scettici nei confronti di qualsiasi richiesta urgente o inaspettata. La vigilanza e la verifica sono difese fondamentali contro queste minacce in continua evoluzione”.
L’esperimento di Sophos
Alcuni ricercatori dell’azienda di sicurezza Sophos hanno svolto un esperimento, sfruttando tutti gli strumenti a loro disposizione, che ha messo in luce che le campagne di truffa che vengono diffuse su larga scala abusano di tecnologie avanzate di AI generativa, portando facilmente le vittime a fornire i propri dati sensibili.
L’esperimento è consistito nella creazione di un finto sito di e-commerce, pratica che tradizionalmente richiedeva alte competenze, codifiche sofisticate e conoscenza approfondita della psicologia umana e che invece oggi è molto più semplice, grazie ai Large Language Models (LLM), che rendono la scrittura di codice accessibile già a chi ha una minima esperienza di codifica.
Mettere insieme le varie tecnologie AI porta le truffe ad un nuovo livello, che ne rende più difficile agli utenti l’identificazione.
Come sostengono i due analisti di Sophos, Younghoo Lee e Ben Gelman, “abbassando le barriere all’ingresso per la creazione di siti web e altri contenuti fraudolenti credibili, un numero molto più elevato di potenziali attori potrebbe lanciare campagne di truffa di successo e di maggiore portata e complessità.
L’automazione e l’uso di varie tecniche di AI generativa alterano l’equilibrio tra sforzo e sofisticazione, consentendo alla campagna di rivolgersi a utenti tecnologicamente più avanzati.
Se da un lato l’AI continua a portare cambiamenti positivi nel nostro mondo, dall’altro non si può ignorare la tendenza crescente del suo uso improprio sotto forma di truffe generate dall’AI […] Per contrastare queste minacce, stiamo sviluppando il nostro modello di AI Security Co-Pilot, progettato per identificare queste nuove minacce e automatizzare le nostre operazioni di sicurezza”.
