Perché il deepfake phishing è un disastro in attesa di accadere
Non sempre tutto è come sembra. Con l’avanzare della tecnologia AI, le persone l’hanno sfruttata per distorcere la realtà. Hanno creato immagini e video sintetici di tutti, da Tom Cruise e Mark Zuckerberg al presidente Obama . Mentre molti di questi casi d’uso sono innocui, altre applicazioni, come il deepfake phishing, sono molto più nefaste.
Un’ondata di attori delle minacce sta sfruttando l’intelligenza artificiale per generare contenuti audio, immagini e video sintetici progettati per impersonare individui fidati, come amministratori delegati e altri dirigenti, per indurre i dipendenti a consegnare informazioni.
Tuttavia, la maggior parte delle organizzazioni semplicemente non è preparata ad affrontare questo tipo di minacce. Nel 2021, l’analista di Gartner Darin Stewart ha scritto un post sul blog avvertendo che “mentre le aziende si stanno affrettando a difendersi dagli attacchi ransomware , non stanno facendo nulla per prepararsi a un imminente assalto dei media sintetici”.
Con l’intelligenza artificiale che avanza rapidamente e fornitori come OpenAI che stanno democratizzando l’accesso all’intelligenza artificiale e all’apprendimento automatico tramite nuovi strumenti come ChatGPT, le organizzazioni non possono permettersi di ignorare la minaccia di ingegneria sociale rappresentata dai deepfake. Se lo fanno, si lasceranno vulnerabili alle violazioni dei dati.
Lo stato del phishing deepfake nel 2022 e oltre
Mentre la tecnologia deepfake rimane agli inizi, sta crescendo in popolarità. I criminali informatici stanno già iniziando a sperimentarlo per lanciare attacchi a utenti e organizzazioni ignari.
Secondo il World Economic Forum ( WEF ), il numero di video deepfake online sta aumentando a un tasso annuo del 900%. Allo stesso tempo, VMware rileva che due difensori su tre riferiscono di aver visto deepfake dannosi utilizzati come parte di un attacco, con un aumento del 13% rispetto allo scorso anno.
Questi attacchi possono avere un’efficacia devastante. Ad esempio, nel 2021, i criminali informatici hanno utilizzato la clonazione della voce AI per impersonare l’amministratore delegato di una grande azienda e hanno indotto con l’inganno il direttore della banca dell’organizzazione a trasferire 35 milioni di dollari su un altro conto per completare una “acquisizione”. Un incidente simile si è verificato nel 2019. Un truffatore ha chiamato l’amministratore delegato di un’azienda energetica britannica che utilizzava l’intelligenza artificiale per impersonare l’amministratore delegato della società madre tedesca dell’azienda. Ha richiesto un trasferimento urgente di $ 243.000 a un fornitore ungherese.
Molti analisti prevedono che l’aumento del phishing deepfake continuerà e che i contenuti falsi prodotti dagli attori delle minacce diventeranno solo più sofisticati e convincenti.
“Man mano che la tecnologia deepfake matura, [gli attacchi che utilizzano deepfake] dovrebbero diventare più comuni ed espandersi in nuove truffe”, ha affermato l’analista di KPMG Akhilesh Tuteja.
“Stanno diventando sempre più indistinguibili dalla realtà. Era facile raccontare video deepfake due anni fa, poiché avevano una qualità goffa [di movimento] e… la persona falsa non sembrava mai battere ciglio. Ma ora sta diventando sempre più difficile distinguerlo”, ha detto Tuteja.
Tuteja suggerisce che i leader della sicurezza devono prepararsi ai truffatori che utilizzano immagini e video sintetici per aggirare i sistemi di autenticazione, come gli accessi biometrici.
In che modo i deepfake imitano gli individui e possono aggirare l’autenticazione biometrica
Per eseguire un attacco di phishing deepfake, gli hacker utilizzano l’intelligenza artificiale e l’apprendimento automatico per elaborare una vasta gamma di contenuti, tra cui immagini, video e clip audio. Con questi dati creano un’imitazione digitale di un individuo.
“Gli attori malintenzionati possono facilmente creare codificatori automatici, una sorta di rete neurale avanzata, per guardare video, studiare immagini e ascoltare registrazioni di individui per imitare gli attributi fisici di quell’individuo”, ha affermato David Mahdi, consulente CSO e CISO di Sectigo .
Uno dei migliori esempi di questo approccio si è verificato all’inizio di quest’anno. Gli hacker hanno generato un ologramma deepfake di Patrick Hillmann, chief communication officer di Binance , prendendo contenuti da interviste passate e apparizioni sui media.
Con questo approccio, gli attori delle minacce non solo possono imitare gli attributi fisici di un individuo per ingannare gli utenti umani tramite l’ingegneria sociale, ma possono anche ignorare le soluzioni di autenticazione biometrica.
Per questo motivo, l’analista di Gartner Avivah Litan raccomanda alle organizzazioni di “non fare affidamento sulla certificazione biometrica per le applicazioni di autenticazione degli utenti a meno che non utilizzi un rilevamento deepfake efficace che garantisca la vivacità e la legittimità degli utenti”.
Litan osserva inoltre che è probabile che il rilevamento di questi tipi di attacchi diventi più difficile nel tempo poiché l’intelligenza artificiale che utilizzano avanza per essere in grado di creare rappresentazioni audio e visive più convincenti.
“Il rilevamento dei deepfake è una proposta perdente, perché i deepfake creati dalla rete generativa vengono valutati da una rete discriminante”, ha affermato Litan. Litan spiega che il generatore mira a creare contenuti che ingannano il discriminatore, mentre il discriminatore migliora continuamente per rilevare contenuti artificiali.
Il problema è che con l’aumentare della precisione del discriminatore, i criminali informatici possono applicare gli insight da questo al generatore per produrre contenuti più difficili da rilevare.
Il ruolo della formazione sulla consapevolezza della sicurezza
Uno dei modi più semplici in cui le organizzazioni possono affrontare il phishing deepfake è attraverso l’uso della formazione sulla consapevolezza della sicurezza . Sebbene nessuna quantità di formazione impedirà a tutti i dipendenti di essere coinvolti in un tentativo di phishing altamente sofisticato, può ridurre la probabilità di incidenti e violazioni della sicurezza.
“Il modo migliore per affrontare il deepfake phishing è integrare questa minaccia nella formazione sulla consapevolezza della sicurezza. Proprio come agli utenti viene insegnato a evitare di fare clic sui collegamenti Web, dovrebbero ricevere una formazione simile sul phishing deepfake”, ha affermato l’ analista di ESG Global John Oltsik.
Parte di tale formazione dovrebbe includere un processo per segnalare i tentativi di phishing al team di sicurezza.
In termini di contenuti formativi, l’ FBI suggerisce che gli utenti possano imparare a identificare deepfake spear phishing e attacchi di social engineering cercando indicatori visivi come distorsioni, deformazioni o incoerenze nelle immagini e nei video.
Insegnare agli utenti come identificare i segnali di allarme comuni, come immagini multiple con spaziatura e posizionamento degli occhi coerenti o problemi di sincronizzazione tra il movimento delle labbra e l’audio, può aiutare a impedire loro di cadere preda di un aggressore esperto.
Combattere l’IA avversaria con l’IA difensiva
Le organizzazioni possono anche tentare di affrontare il phishing deepfake utilizzando l’intelligenza artificiale. Le reti generative avversarie (GAN), un tipo di modello di deep learning, possono produrre set di dati sintetici e generare falsi attacchi di ingegneria sociale.
“Un forte CISO può fare affidamento su strumenti di intelligenza artificiale, ad esempio, per rilevare i falsi. Le organizzazioni possono anche utilizzare i GAN per generare possibili tipi di attacchi informatici che i criminali non hanno ancora implementato e escogitare modi per contrastarli prima che si verifichino”, ha affermato Liz Grennan, partner associato esperto di McKinsey .
Tuttavia, le organizzazioni che intraprendono questi percorsi devono essere preparate a dedicare del tempo, poiché i criminali informatici possono anche utilizzare queste capacità per innovare nuovi tipi di attacco. “Naturalmente, i criminali possono utilizzare i GAN per creare nuovi attacchi, quindi spetta alle aziende rimanere un passo avanti”, ha affermato Grennan.
Soprattutto, le imprese devono essere preparate. Le organizzazioni che non prendono sul serio la minaccia del phishing deepfake si lasceranno vulnerabili a un vettore di minacce che ha il potenziale per esplodere in popolarità man mano che l’IA diventa democratizzata e più accessibile a entità dannose.
Tim Keari da venturebeat.com
