Il deep fake impazza
Il tema sta diventando di scottante attualità anche al di fuori della nostra cerchia di professionisti.
Chi fa il mio lavoro aveva immediatamente capito che la massiccia disponibilità di soluzioni basate sull’intelligenza artificiale avrebbe trasformato quella dei deep fake nella nuova frontiera del social engineering. Personalmente l’ho scoperto sei mesi fa quando ho mandato un messaggio audio falsificato a mia madre e ho fatto fatica a convincerla che non ero io.
La scorsa settimana si sono verificati due casi che hanno fatto un certo rumore mediatico.
Il primo ha coinvolto un dirigente della Ferrari che ha intrattenuto una telefonata con il «deep fake vocale» dell’amministratore delegato dell’azienda di Maranello, deciso a convincerlo di un’imminente e segreta acquisizione per la quale, inutile dirlo, sarebbe stato necessario effettuare una transazione finanziaria. A tradire l’intelligenza artificiale sono state alcune inflessioni nella voce e alcuni passaggi in cui era piuttosto metallica.
Il secondo caso ha visto come vittima la società KnowBe4, specializzata in formazione in ambito cybersecurity. Nel caso un cyber criminale nord coreano è riuscito a farsi assumere dall’azienda, dopo essersi costruito una falsa identità, grazie anche alla manipolazione tramite IA della fotografia utilizzata per presentarsi all’ufficio risorse umane. Una volta assunto ha tentato di installare un malware sui sistemi di KnowBe4.
Si tratta di due casi emblematici con lieto fine, ma dobbiamo essere consci che nei prossimi mesi i tentativi diventeranno migliaia e poi decine di migliaia e non solo. Molto probabilmente vedremo attacchi che metteranno insieme diverse tecniche di social engineering: email di phishing sempre più attendibili, condite con immagini e audio contraffatti ad arte, link a siti assolutamente credibili.
Sarà sufficiente che i criminali e gli aspiranti tali prendano confidenza con le diverse applicazioni basate sull’intelligenza artificiale e assisteremo a un’ondata di tentativi di truffa senza precedenti e questo per una semplice ragione.
Se dieci anni fa per delinquere in rete ci voleva un certo grado di competenza tecnica e di “creatività criminale”, oggi basta la seconda perché le barriere d’accesso alla professione stanno rapidamente scomparendo e questa rappresenta una di quelle tentazioni che, come dice il proverbio, fa l’uomo ladro.