Check Point va in aiuto di utenti e dipendenti per individuare una truffa deepfake e proteggersi dalle minacce suggerisce così tre consigli. I deepfake fanno parte della quotidianità sia da un punto di vista personale che lavorativo a causa del loro crescente grado di sofisticazione. L’accesso agli strumenti di intelligenza artificiale utilizzati per creare i deepfake è notevolmente migliorato. Oggi è possibile imitare la voce e le movenze di un essere umano molto meglio che in passato. Se a questo si aggiunge il costo ridotto per l’utilizzo di questa tecnologia, si comprendono le ragioni alla base del proliferare su larga scala di fake convincenti.
Come individuare una truffa deepfake
La ricerca ha rilevato che anche dopo meno di 30 secondi di conversazione, utilizzando gli strumenti di IA necessari è possibile creare un deepfake della voce dell’interlocutore. Poi utilizzarla per qualsiasi scopo, senza limiti di tempo e praticamente a costo zero. E oggi questo vale anche per i video. Il numero di attacchi deepfake (per di più riusciti) è fenomenale. Secondo un rapporto di Sumsub Research condotto lo scorso anno, gli attacchi deepfake globali sono aumentati di dieci volte dal 2022 al 2023. Nel Nord America si è registrata la più alta crescita con un +1.740%.
Cresce la preoccupazione delle aziende
Per le aziende, una delle preoccupazioni principali è che un dirigente possa essere oggetto di un deepfake convincente. Oppure che un dipendente con accessi privilegiati possa essere ingannato da un fake. Ad esempio un addetto alle finanze di Hong Kong ha approvato un pagamento di 25 milioni di dollari attraverso un’elaborata videoconferenza con un deepfake del direttore finanziario dell’azienda. Il caso ha messo in evidenza l’evoluzione della tecnologia e il suo potenziale come nuovo vettore di minacce per le truffe aziendali. I significativi impatti commerciali associati all’uso doloso di deepfake hanno spinto le persone e le aziende a chiedersi come se stesse e le proprie attività.
Come capire se la persona all’altro capo di una videoconferenza è reale e non una creazione dell’IA?
È necessario essere molto vigili ed eseguire alcuni controlli di buon senso. In tutte le situazioni le persone tendono a soppesare ciò che vedono e a fare determinate valutazioni di rischio e giudizi. Allo stesso modo con cui si controlla la veridicità di un’e-mail o dei suoi contenuti, incrociando per esempio l’ID del mittente, passando il mouse su un url o su un file allegato, si può fare lo stesso per quanto riguarda l’utilizzo dello strumento di videoconferenza. Quali sono i controlli che i dipendenti possono eseguire per rilevare un deepfake o per allertarsi davanti a un tentativo di truffa più sofisticato che fa uso della tecnologia deepfake?
Individuare una truffa deepfake: consigli e accorgimenti
Il primo consiste nell’eseguire un rapido controllo di “vitalità” chiedendo alla persona all’altro capo del video di girare la testa da un lato all’altro. Questo metodo è oggi efficace perché gli strumenti di IA generativa utilizzati per produrre deepfake non creano un’immagine tridimensionale o a 360 gradi della persona. Le viste laterali della testa e del viso non vengono renderizzate o visualizzate correttamente. Pertanto, se i dipendenti hanno dei sospetti, devono chiedere alla persona di girarsi a destra o a sinistra e, se il volto scompare, riattaccare.
La situazione futura
Questo è efficace oggi, ma potrebbe non esserlo domani. Lo sviluppo dell’intelligenza artificiale generativa comporta un continuo miglioramento degli strumenti di creazione delle sembianze umane, sempre più realistiche. Questo potrebbe rendere più difficile il controllo della “vitalità” nel tempo. I dipendenti potrebbero essere in grado di cogliere ulteriori indizi che indicano che una videoconferenza con un dirigente aziendale non è reale.
Il secondo consiglio
Un secondo controllo utile quando si riceve un collegamento di videoconferenza o quando ci si unisce a una chiamata con più partecipanti è verificare se stanno utilizzando una versione con licenza aziendale del software. Questo è spesso ovvio perché le aziende utilizzano un “vanity URL” (nomeazienda.videoplatform.com) per mostrare da dove stanno chiamando.
La fiducia non è mai troppa…
La fiducia è ulteriormente rafforzata comunicando in anticipo, tramite chat o l’e-mail, come voi e gli altri vi unirete alla videoconferenza. Conoscere in anticipo che si riceverà un invito a una videoconferenza da un certo dominio aziendale rappresenta un altro elemento che può essere preso in considerazione per decidere se prendere parte o meno alla riunione. Se il meeting viene avviato da un account personale, o se qualcuno si unisce inaspettatamente da un account personale, potrebbe essere un segnale di allarme.
I 3 consigli di Check Point per individuare una truffa deepfake
Una terza strategia utile è quella di concordare parole chiave interne che devono essere verificate fuori banda prima di eseguire determinate azioni, come ad esempio un trasferimento di denaro. Nel caso di Hong Kong, ciò avrebbe significato contattare il CFO con cui pensavano di parlare attraverso un canale diverso e chiedere: “Qual è la parola?”. La risposta ricevuta avrebbe detto subito se il “CFO”, e la richiesta fatta, fossero autentici o meno.
Attenzione e cautela
I dipendenti devono continuare a essere cauti e a prestare attenzione e utilizzare tutti gli accorgimenti a loro disposizione. Inoltre tenersi aggiornati sull’evoluzione della tecnologia di IA, per affrontare al meglio la minaccia di imbattersi in un deepfake. Gli sforzi dei singoli sono supportati dalle organizzazioni attraverso l’implementazione di soluzioni di cybersecurity. Come solide protezioni per le e-mail in grado di rilevare e impedire che molti pericolosi inviti a riunioni vengano recapitati nella posta elettronica. Data la concretezza della minaccia, è importante disporre di una protezione a tutto tondo.