Possono ChatGPT e altre intelligenze artificiali essere utilizzate per intaccare la cyber security? Ovvero può un’AI trasformarsi in uno strumento utilizzato dai malintenzionati per elaborare informazioni a scopo di spionaggio e hacking a livello industriale? Per quanto possa sembrare surreale, le AI sono ad oggi utilizzate massicciamente nell’ingegneria sociale, confezionando anche audio da spedire tramite app di messaggistica o modificando la voce in tempo reale su siti specializzati.
Vall-e, ad esempio, sebbene nato con il nobile intento di utilizzare la sintesi vocale per migliorare l’esperienza d’uso delle interfacce tecnologiche da parte degli utenti, sembra essere per popolarità lo strumento preferito dai malintenzionati per elaborare voci sintetiche e spacciare tali audio attraverso WhatsApp o Telegram con l’intento di convincere le vittime ad agire secondo la volontà dei malintenzionati.
Indice degli argomenti
Le AI sono arrivate per restare, nel bene e nel male
L’intelligenza artificiale (AI) sta rapidamente diventando una parte integrante della nostra vita quotidiana e sempre più aziende stanno utilizzando questa tecnologia per migliorare i loro prodotti e servizi. Tuttavia, come con qualsiasi tecnologia, una AI può anche essere utilizzata per scopi nocivi. Uno strumento anche questo che i criminal hacker possono utilizzare per ingannare le persone utilizzando vari metodi come, per l’appunto, i messaggi audio.
Le AI progettate per simulare l’audio umano utilizzano algoritmi di sintesi vocale basati sull’apprendimento automatico per creare voci artificiali che suonano naturali e convincenti.
La voce generata da queste AI può variare in tono, velocità, inflessione e intonazione per imitare la voce di una persona specifica con un determinato stato d’animo, arrabbiato, assonnato, sorpreso o altro.
In pratica, queste intelligenze artificiali possono replicare la voce di qualsiasi persona in base a una breve registrazione audio. Questa tecnologia può essere utilizzata in una vasta gamma di contesti, come ad esempio per migliorare l’accessibilità per le persone con disabilità, per migliorare l’esperienza degli utenti su piattaforme come Alexa e Siri e persino per creare podcast di alta qualità.
Alcune di queste intelligenze artificiali sono già utilizzabili in applicazioni di sintesi vocale di alta qualità, editing vocale e creazione di contenuti se combinata con altre AI come GPT-3. Il risultato si sta dimostrando davvero buono: possiamo immaginare un numero infinito di usi in futuro, dove potrebbe essere utilizzato come doppiaggio per giochi, per editare audiolibri e anche per studiare attraverso il tono di voce più adatto per lo studente, o simulando la nostra stessa voce qualora lo ritenessimo necessario.
Nel caso di Vall-e viene utilizzato un “modello di linguaggio codec neurale” in grado di imitare qualsiasi voce umana e per questo ha bisogno di ascoltare, o meglio, campionare solo 3 secondi della voce originale. L’intelligenza artificiale smembra le informazioni audio in componenti e sintetizza le variazioni del suo suono in frasi diverse, riproducendo così accuratamente il timbro e il tono emotivo di chi parla.
Per realizzare il modello, è stata utilizzata una libreria audio di Meta contenente più di 60.000 ore di inglese parlato da più di 7.000 interlocutori parlanti. Per consultare alcuni dei risultati ci sono dozzine di demo sul sito ufficiale.
Tuttavia, questa stessa tecnologia può essere utilizzata per scopi malevoli da attori delle minacce che utilizzano le metodologie di social engineering come fonte di manipolazione.
I malintenzionati possono utilizzare Vall-e per creare audio falsi che sembrano essere la voce di una persona specifica. Ad esempio, un criminal hacker potrebbe utilizzare Vall-e per replicare la voce del CEO di un’azienda e contattare un dipendente della stessa organizzazione, cercando di convincerlo a fornire informazioni sensibili come password o informazioni di accesso a un determinato account.
Questo tipo di attacco con metodologia social engineering può essere molto efficace, poiché la voce simulata dalla AI di Vall-e potrebbe essere quasi indistinguibile dalla voce reale del CEO dell’azienda. Inoltre, poiché l’audio viene generato dalla AI di Microsoft, i criminal hacker non hanno bisogno di competenze tecniche audio avanzate.
Non basta l’antivirus: servono furbizia e astuzia
Ci sono alcuni accorgimenti che si possono attuare per proteggersi dagli attacchi social engineering che utilizzano le AI.
Innanzitutto, è importante che le persone siano consapevoli dell’esistenza di questa tecnologia e di come potrebbe essere utilizzata dai malintenzionati. Inoltre, le persone dovrebbero prestare attenzione a qualsiasi chiamata o e-mail che sembra sospetta o che richiede informazioni sensibili. Il metodo della consapevolezza dei collaboratori è sempre l’arma vincente.
Inoltre, le aziende dovrebbero adottare misure di sicurezza avanzate per proteggere i loro collaboratori e i loro dati, come ad esempio l’implementazione di protocolli di autenticazione a due fattori prima di rispondere a voce su un quesito. Per esempio: “sì, sei il mio capo ma per avere l’informazione che mi chiedi devi darmi prima la nostra parola di riconoscimento”, richiedendo una parola chiave determinata o magari il suo numero di badge o tesserino aziendale. In questo modo, le aziende possono iniziare a proteggere sé stesse e i loro collaboratori dagli attacchi di social engineering che utilizzano le AI.
L’intelligenza artificiale di Vall-e è stata sviluppata per simulare l’audio umano in modo convincente. Questa tecnologia ha molte applicazioni positive, come l’accessibilità per le persone con disabilità vocale, ma purtroppo può anche essere utilizzata dai malintenzionati per scopi nocivi.
In particolare, i criminal hacker possono utilizzare Vall-e per creare messaggi audio falsi e convincere le persone a fornire informazioni personali o a eseguire azioni dannose: ci riferiamo al fatto che i malintenzionati possono utilizzare Vall-e per ingannare le persone attraverso messaggi audio su WhatsApp e Telegram come scritto prima.
Alla luce di questo, gli utenti di WhatsApp e Telegram dovrebbero utilizzare solo le app ufficiali scaricate dai rispettivi store online. In questo modo, si evitano le versioni modificate o clone delle app che potrebbero contenere malware o altre minacce alla sicurezza.
Inoltre, è importante non fornire informazioni personali a nessuno, a meno che non si sia certi dell’identità del proprio interlocutore.
Non mi somigli per niente eppure sei un mio rivale
I software finora utilizzati per condurre attacchi di social engineering (come Maltego) oggi rimangono un po’ spiazzati dall’avvento delle intelligenze artificiali, ma non si può pensare che le tecnologie di questi software, così diverse tra loro, possano competere tra loro.
Maltego è uno strumento di “intelligence gathering”, utilizzato per analizzare dati e informazioni online in modo da creare una mappa delle relazioni tra i vari elementi coinvolti. Questo software è utilizzato in diverse aree, come la sicurezza informatica, la ricerca di informazioni e l’analisi forense. Maltego utilizza una vasta gamma di fonti di dati, compresi i social network, siti web e banche dati, per raccogliere informazioni e creare una visualizzazione grafica delle relazioni tra i dati.
D’altro canto, come dicevamo, Vall-e è una tecnologia di intelligenza artificiale sviluppata per la simulazione audio. Questa tecnologia è stata progettata per creare voci sintetiche e simulazioni audio realistiche di conversazioni umane. Vall-e utilizza algoritmi di apprendimento automatico per creare una vasta gamma di voci, dal tono informale a quello formale, e può anche imitare l’accento di diverse regioni geografiche della stessa lingua.
In sintesi, Maltego e Vall-e sono strumenti molto diversi con scopi e funzionalità completamente diversi. Maltego è utilizzato per raccogliere informazioni e analizzare dati, mentre Vall-e è utilizzato per creare voci sintetiche e simulazioni audio realistici di conversazioni umane. Entrambi questi strumenti sono utili in diversi contesti, ma la loro applicazione è molto diversa.
Un sito che trasforma la voce dei malintenzionati in tempo reale
Un altro strumento online per la clonazione e modifica della voce in tempo reale è Voice Changer, che consente agli utenti di clonare e creare voci personalizzate per streaming, giochi, riunioni e chiamate.
Supporta una varietà di piattaforme, tra cui Among Us, World of Warcraft, MineCraft, CS:GO, League of Legends, Discord, Skype, Google Meet, Zoom e WhatsApp. Inoltre, offre una scheda Voice Universe per voci pubbliche gratuite, una funzione Voice Changer, una funzione Soundboard e un SDK di facile utilizzo.
La tecnologia degli assistenti vocali e dei comandi vocali è in rapida espansione e sta diventando sempre più comune nella vita di tutti i giorni. Tuttavia, come accade spesso con le nuove tecnologie, anche Voice Changer può essere utilizzato da malintenzionati per scopi nefasti.
Una delle principali preoccupazioni riguarda la possibilità che i criminal hacker utilizzino Voice Changer per eseguire attacchi di social engineering inducendo le vittime a condividere informazioni personali, come numeri di carte di credito o password, o convincerle a eseguire determinate azioni, come l’installazione di malware o il trasferimento di denaro.
Gli attaccanti possono utilizzare la tecnologia offerta da Voice Changer per creare messaggi vocali o chiamate apparentemente provenienti da fonti affidabili, come banche, aziende di servizi pubblici o altri enti, al fine di ottenere informazioni personali o finanziarie. Possono anche utilizzare la tecnologia per creare conversazioni vocali simulate con amici o familiari, facendosi passare per loro e convincere la vittima ad eseguire azioni pericolose o sospette.
Come scritto prima, per proteggersi da questi attacchi di social engineering, è importante prestare attenzione ai messaggi vocali o alle chiamate ricevute e non fornire informazioni personali o finanziarie a persone sconosciute. Inoltre, è importante verificare sempre l’identità di chi effettua la chiamata o invia il messaggio prima di fornire qualsiasi informazione.
Infine, è importante mantenere i propri dispositivi protetti da malware e programmi dannosi, installando regolarmente gli aggiornamenti di sicurezza e utilizzando software antivirus e firewall soprattutto quando si tratta di dispositivi aziendali.
Conclusioni
Alla luce di quanto visto, possiamo dire che la cyber security è entrata in una nuova era dovendo combattere un nuovo nemico che non aveva mai visto prima.
Mai come in questo caso bisogna puntare sulla consapevolezza dei propri collaboratori, formandoli e spiegando loro che anche la più evidente e semplice delle richieste telefoniche o di messaggistica può nascondere un inganno.
