Ai nostri giorni, il numero di attacchi deepfake (per di più riusciti) è fenomenale. I deepfake fanno ormai parte della quotidianità sia da un punto di vista personale che lavorativo a causa del loro crescente grado di sofisticazione. Infatti l’accesso agli strumenti di intelligenza artificiale utilizzati per creare i deepfake è notevolmente migliorato, ed oggi è possibile imitare la voce e le movenze di un essere umano molto meglio che in passato. Se a questo si aggiunge il costo ridotto per l’utilizzo di questa tecnologia, si comprendono le ragioni alla base del proliferare su larga scala di fake convincenti.
La ricerca ha rilevato che anche dopo meno di 30 secondi di conversazione, utilizzando gli strumenti di IA necessari è possibile creare un deepfake della voce dell’interlocutore e utilizzarla per qualsiasi scopo, senza limiti di tempo e praticamente a costo zero. E oggi questo vale anche per i video.
La diffusione crescente di deepfake
Secondo un rapporto di Sumsub Research condotto lo scorso anno, gli attacchi deepfake globali sono aumentati di dieci volte dal 2022 al 2023. Nel Nord America si è registrata la più alta crescita con un +1.740%.
Per le aziende, una delle preoccupazioni principali è che un dirigente possa essere oggetto di un deepfake convincente, o che un dipendente con accessi privilegiati possa essere ingannato da un fake. All’inizio di quest’anno, un diligente addetto alle finanze di Hong Kong è stato indotto ad approvare un pagamento di 25 milioni di dollari attraverso un’elaborata videoconferenza con un deepfake del direttore finanziario dell’azienda. Ha richiesto un incontro Zoom in risposta a una richiesta di trasferimento di denaro e ha inviato il denaro solo dopo aver parlato con colui che pensava fosse il direttore finanziario e con diversi altri colleghi durante la stessa chiamata, tutti deepfake. Il caso ha messo in evidenza l’evoluzione della tecnologia e il suo potenziale come nuovo vettore di minacce per le truffe aziendali.
I significativi impatti commerciali associati all’uso doloso di deepfake hanno spinto le persone e le aziende a chiedersi cosa attuare per proteggere se stesse e le proprie attività. Come capire se la persona all’altro capo di una videoconferenza è reale e non una creazione dell’IA?
È necessario essere molto vigili ed eseguire alcuni controlli di buon senso. In tutte le situazioni le persone tendono a soppesare ciò che vedono e a fare determinate valutazioni di rischio e giudizi. Allo stesso modo con cui si controlla la veridicità di un’e-mail o dei suoi contenuti, incrociando per esempio l’ID del mittente, passando il mouse su un url o su un file allegato, oppure esaminando lo stile e la grammatica, si può fare lo stesso per quanto riguarda l’utilizzo dello strumento di videoconferenza.
Consigli e accorgimenti contro le deepfake
Quali sono i controlli che i dipendenti di un’azienda possono eseguire per rilevare un deepfake o per allertarsi davanti a un tentativo di truffa più sofisticato che fa uso della tecnologia deepfake?
- Il primo consiste nell’eseguire un rapido controllo di “vitalità” chiedendo alla persona all’altro capo del video di girare la testa da un lato all’altro. Questo metodo è oggi efficace perché gli strumenti di IA generativa utilizzati per produrre deepfake non creano un’immagine tridimensionale o a 360 gradi della persona, ma possono solo produrre immagini piatte e frontali. Le viste laterali della testa e del viso non vengono renderizzate o visualizzate correttamente. Pertanto, se i dipendenti hanno dei sospetti, devono chiedere alla persona di girarsi a destra o a sinistra e, se il volto scompare, riattaccare.
Allo stesso modo, anche altri comportamenti umani naturali che si osservano spesso in videoconferenza (ad esempio, una persona che si alza e si gratta o si tocca la testa) non vengono visualizzati correttamente con un deepfake.
Questo è efficace oggi, ma potrebbe non esserlo domani. Il rapido ritmo di sviluppo dell’intelligenza artificiale generativa comporta un continuo miglioramento degli strumenti di creazione delle sembianze umane, sempre più realistiche, il che potrebbe rendere più difficile il controllo della “vitalità” nel tempo.
I dipendenti potrebbero essere in grado di cogliere ulteriori indizi che indicano che una videoconferenza con un dirigente aziendale non è reale.
- Un secondo controllo utile quando si riceve un collegamento di videoconferenza o quando ci si unisce a una chiamata con più partecipanti è verificare se gli stessi stanno utilizzando una versione con licenza aziendale del software. Questo è spesso ovvio perché le aziende utilizzano un “vanity URL” (videoplatform.com) per mostrare da dove stanno chiamando. La fiducia può essere ulteriormente rafforzata comunicando in anticipo, tramite un metodo diverso come la chat o l’e-mail, come voi e gli altri vi unirete alla videoconferenza. Conoscere in anticipo che si riceverà un invito a una videoconferenza da un certo dominio aziendale rappresenta un altro elemento che può essere preso in considerazione per decidere se prendere parte o meno alla riunione. Se il meeting viene avviato da un account personale, o se qualcuno si unisce inaspettatamente e senza spiegazioni da un account personale, potrebbe essere un segnale di allarme, che giustifica il fatto di porsi delle domande ed effettuare ulteriori controlli.
- Una terza strategia utile è quella di concordare parole chiave interne che devono essere verificate fuori banda prima di eseguire determinate azioni, come ad esempio un trasferimento di denaro. Nel caso del lavoratore di Hong Kong, ciò avrebbe significato contattare il CFO con cui pensavano di parlare attraverso un canale completamente diverso e chiedere: “Qual è la parola?”. La risposta ricevuta avrebbe detto subito se il “CFO”, e la richiesta fatta, sono autentici o meno.
I dipendenti devono continuare a essere cauti e a prestare attenzione, utilizzare tutti gli accorgimenti a loro disposizione e tenersi aggiornati sull’evoluzione della tecnologia di IA, per affrontare al meglio la minaccia di imbattersi in un deepfake.
Gli sforzi dei singoli possono essere supportati dalle organizzazioni attraverso l’implementazione di soluzioni di cybersecurity, come per esempio solide protezioni per le e-mail in grado di rilevare e impedire che molti pericolosi inviti a riunioni vengano recapitati nelle caselle di posta elettronica. Data la concretezza della minaccia, è importante disporre di una protezione a tutto tondo.