La notizia a cui facciamo riferimento ha ormai un mese e, al di là del fatto che sia vera o meno (qualche dubbio, in realtà, lo ha sollevato fin da subito), ciò che conta è la sua plausibilità, perché i deepfake sono una tecnica ormai rodata e ricorrente.
Siamo negli uffici di una multinazionale di Hong Kong e, durante una videoconferenza, usando tecniche di deepfake, un gruppo di hacker ha indotto dei dipendenti a fare diversi bonifici per un totale di circa 25,6 milioni di dollari americani, più o meno 23,6 milioni di euro.
Gli elementi cardine sono due: oggi i deepfake hanno raggiunto altissimi livelli di perfezione e, per scongiurare il peggio, sarebbe bastata una parola d’ordine.
Per capire come evitare di cadere in queste trappole, ci siamo avvalsi della collaborazione dell’ingegnere Giorgio Sbaraglia, consulente aziendale per la sicurezza informatica e membro del Clusit, l’Associazione italiana per la sicurezza informatica.
Deepfake in tempo reale: cosa sono, come funzionano e quali tutele per prevenire la minaccia
Indice degli argomenti
Come si sono svolti i fatti
La notizia è trapelata ai primi di febbraio del 2024 e, secondo il South China Morning Post, degli hacker hanno creato una sovrapposizione digitale delle sembianze del direttore finanziario e di altri dipendenti dell’azienda organizzando una videoconferenza e dando istruzioni affinché fossero bonificati diversi importi su più conti correnti. Totale della truffa, come detto, circa 25,6 milioni di dollari.
Non tocca a noi dimostrare l’eventualità che all’interno dell’azienda ci fossero dipendenti accondiscendenti o meno, ciò che ha valore però è che oggi i deepfake hanno raggiunto livelli di credibilità notevoli.
Perché (se fosse vero) sarebbe un incubo
Secondo quanto riporta Il South China Morning Post, uno dei collaboratori che ha effettuato i bonifici ha avuto qualche perplessità ma, poiché la richiesta era stata fatta in video dai vertici aziendali, si è fidato. Questo è il vero pericolo: per rispetto delle gerarchie aziendali un dipendente omette di fare domande ed esegue gli ordini, per quanto possa trovarli strani.
Questo vuole dire che, oggi, non ci si può (e non ci si dovrebbe fidare) di ciò che accade durante una videoconferenza o una telefonata. Immagini e voci sono facilmente falsificabili ottenendo risultati difficilmente riconoscibili dagli originali.
Le falsificazioni rappresentano una tendenza non nuova ma rinnovata nel panorama delle minacce. E questa considerazione deve contribuire a dare forma alle strategie di difesa di ogni organizzazione.
I rimedi
Occorre individuare bene il problema e, per farlo, è utile tracciare paragoni con ciò che è già accaduto in passato, come sottolinea l’ingegner Sbaraglia: “Quello che è accaduto altro non è che una truffa classica: la tecnologia è soltanto un mezzo nuovo per portare a termine raggiri vecchi.
Nel 2019 accadde un caso molto simile a Maire Tecnimont, a cui abili truffatori hanno sottratto 16 milioni di euro che furono pagati dalla divisione India dell’azienda. Per farlo, organizzarono alcune conference call per discutere di un’acquisizione “riservata” in Cina. Durante le conversazioni diverse persone hanno finto di essere il Ceo oppure senior executive di Tecnimont o anche un legale con sede in Svizzera”.
Truffe non isolate ma ardite anche perché, nel mirino, finiscono spesso grosse organizzazioni: “Questa truffa, purtroppo molto diffusa nel mondo, è definita Business E-mail Compromise (BEC), in questo caso nella variante conosciuta come ‘CEO Fraud’ o anche Business Executive Scam: una richiesta di bonifico bancario viene inviata da un dirigente aziendale di alto livello (CEO o Chief Financial Officer) a un dipendente all’interno dell’azienda preposto ad eseguire pagamenti.
È la variante di phishing definita anche whaling, perché punta al “pesce grosso”. Nella mia attività di consulente in cyber security ne ho viste e trattate molte. In genere, per compiere questa truffa si utilizzano e-mail abilmente falsificate”, illustra Sbaraglia.
In gioco, però, non ci sono soltanto email, l’asticella della credibilità è spostata verso l’alto grazie a video e audio: “Il fatto che in questo caso si sia fatto ricorso ad uno strumento molto più tecnologico ed evoluto come è un deepfake durante una videoconferenza, non cambia – a mio parere – la sostanza del problema e neppure le misure di prevenzione per contrastare queste truffe. La tecnologia avanza, quindi dovremo mettere in conto che le tecniche di deepfake diventino sempre più sofisticate ed efficaci, quindi sempre più difficili da riconoscere. Ma non è questo il vero problema: la CEO Fraud va contrastata non con misure tecnologiche (che potrebbe non essere più sufficienti e fallire), ma soprattutto con la formazione e con le procedure aziendali”, continua l’ingegner Sbaraglia.
È quindi il fattore umano a determinare il successo di queste truffe e, per limitare i rischi, non c’è per forza di cose necessità di ricorrere a soluzioni tecnologiche: “In primo luogo, chi gestisce i pagamenti nelle aziende deve essere formato per conoscere l’esistenza di queste truffe. E poi devono essere stabilite nelle aziende procedure rigorose di controllo sui pagamenti, con separazione dei ruoli (Segregation of Duties), per evitare che sulla stessa persona ricadano le responsabilità di autorizzazione, esecuzione e verifica dei pagamenti”, aggiunge ancora l’esperto in cyber security.
“Quindi, occorre stabilire che per i pagamenti (almeno per quelli di un certo livello) vengano eseguite verifiche obbligatorie, quali per esempio telefonate di controllo a chi dovrebbe autorizzarle, ovviamente utilizzando canali di comunicazione sicuri e non compromessi. La Business E-mail Compromise (BEC), in qualunque forma venga perpetrata, sfrutta la debolezza del fattore umano ed è solo su questo che si deve intervenire per prevenirla e scongiurarla”, conclude Sbaraglia.
