Nel mondo della sicurezza si inizia a vedere che i vecchi schemi d’attacco vengono riutilizzati con nuove tecnologie. Un esempio: “Deepfake” è un termine che viene sempre più riportato sulle pagine dei giornali, e descrive video manipolati digitalmente e utilizzati per ricreare l’immagine di una persona o falsificare un’identità.
L’ultimo esempio di deepfake targeting, in cui a seguito di una videochiamata contraffatta è stato effettuato un bonifico da 25 milioni di dollari, ha catturato l’attenzione per diversi motivi: innanzitutto per l’enorme quantità di denaro che i criminali informatici sono riusciti a rubare con una singola videochiamata contraffatta. Di per sé, lo schema operativo utilizzato per ingannare la vittima non è una novità. Tuttavia, questo esempio di deepfake ha dimostrato ancora una volta quanto sia sofisticato il livello di adulterazione quando l’intelligenza artificiale viene utilizzata in modo creativo. In genere, le persone temono una tecnologia relativamente nuova, come l’IA, perché non riescono a coglierne immediatamente il pieno potenziale e hanno paura di ciò che non conoscono. Allo stesso modo, le evoluzioni tecnologiche spaventano le persone quando le percepiscono come una minaccia al loro senso di sicurezza o per la loro vita professionale, come, per esempio, la possibilità di perdere il posto di lavoro a causa dell’intelligenza artificiale.
Le tecniche di social engineering utilizzate dai criminali informatici si evolvono costantemente e di solito i criminali sono più veloci nell’adottare le nuove tecnologie a loro vantaggio di quanto lo siano le aziende che si occupano di sicurezza a proteggere le loro vittime. Troviamo esempi di questo tipo in un passato non troppo lontano: ai tempi della connettività via modem, un comune malware si connetteva a un modem nel cuore della notte e lo collegava a un numero a pagamento, con conseguenti bollette salate. Qualche anno fa, una serie di applicazioni Android dannose ha violato i telefoni cellulari per comporre numeri a pagamento fruttando così soldi facili e veloci, in pratica una forma moderna della vecchia tattica del modem dialer. I cryptominer che sfruttano la potenza di calcolo dei sistemi infetti rappresentano il passo successivo di questa evoluzione.
Il fattore rischio umano
La storia ci ha mostrato una serie di esempi di utilizzo di vecchie tattiche di social engineering. La tecnica di contraffare la voce di un dirigente di alto livello riutilizzando clip audio disponibili pubblicamente per minacciare gli utenti e indurli ad agire è già abbastanza nota. La falsificazione di sessioni video che mostrano una serie di persone durante una chiamata interattiva e dal vivo, tuttavia, dimostra il nuovo (e spaventoso) livello di contraffazione raggiunto dai criminali informatici e ha seminato un nuovo livello di paura rispetto all’evoluzione tecnologica dell’IA. È la dimostrazione perfetta della facilità con cui gli esseri umani possono essere ingannati o costretti ad agire, e di come criminali informatici possano sfruttarla a loro vantaggio. Ma questo attacco evidenzia anche come una nuova tecnologia può consentire ai criminali informatici di svolgere le solite attività, ma in modo più efficiente. E, naturalmente, i malintenzionati ne stanno approfittando.
Purtroppo, non c’è ancora una generale consapevolezza della costante evoluzione delle tecniche di social engineering. In generale, il grande pubblico non segue le notizie relative alla sicurezza e crede che questo tipo di attacchi non li colpirà mai. Questo è ciò che rende difficile l’efficacia della formazione tradizionale e la sensibilizzazione alla sicurezza informatica: l’utente (come singolo individuo) non crede di poter essere preso di mira. Quindi, quando ciò accade, è impreparato e cade vittima di un attacco di social engineering.
Sulla scia di questo recente attacco sono state sollevate anche domande su come un dipendente possa avere qualche possibilità di accorgersi che si tratta di un falso, se l’IA è davvero così efficace da far sembrare questi video così realistici. Il fatto è che gli esseri umani non sono macchine e saranno sempre un fattore di rischio come prima linea di difesa all’interno di un’azienda, perché avranno un livello variabile di sensibilizzazione sulla sicurezza (a prescindere da quanto valido possa essere il processo di formazione interna). Immaginiamo un utente che abbia passato una brutta serata o sia tornato a casa molto tardi da un viaggio di lavoro o da un evento sportivo. Semplicemente, il giorno dopo potrebbe non essere così concentrato nel rilevare le moderne tecniche di social engineering o nel prestare attenzione ai dettagli. Per contro l’intelligenza artificiale non avrà una giornata no: la sua modalità operativa rimarrà costante.
La tecnologia per combattere questi schemi esiste già, ma non è molto utilizzata
Il fatto che questo tipo di schemi strategici continuino a rivelarsi efficaci dimostra che le aziende non hanno ancora adattato processi di sicurezza e organizzativi per gestirli. Un modo per contrastare i video deep fake inizia a livello di processi (di sicurezza).
La prima idea che mi viene in mente è semplice: fare in modo che i sistemi di videoconferenza includano una funzione per autenticare un utente connesso come essere umano. Un semplice plug-in potrebbe fare al caso nostro, impiegando l’autenticazione a due fattori per verificare l’identità all’interno di Zoom o Teams, ad esempio. Si spera che un’API di questo tipo sia abbastanza facile da sviluppare e rappresenterebbe un enorme passo avanti nella prevenzione degli attacchi di sniffing anche attraverso il telefono.
Inoltre, l’approccio culturale che teme l’intelligenza artificiale deve cambiare. È una tecnologia straordinaria, non solo quando viene usata impropriamente. La società deve solo comprenderne i limiti. L’IA può essere effettivamente implementata per fermare questo tipo di attacchi moderni se i responsabili della sicurezza imparano a controllare il problema e a utilizzare la tecnologia per giocare d’anticipo sui criminali informatici. Le tecnologie basate sull’arte dell’inganno esistono già e l’IA può essere utilizzata per rilevare le anomalie in modo molto più rapido ed efficace, dimostrando il suo potenziale positivo.
Da un punto di vista più globale, l’adozione di un approccio Zero Trust per la sicurezza può consentire alle aziende di migliorare continuamente il loro livello di sicurezza per quanto riguarda i processi. Le soluzioni Zero Trust non solo possono aiutare a livello di connettività, ma anche migliorare i flussi di lavoro della sicurezza, aiutando a verificare se tutti i partecipanti a una chiamata sono autenticati rispetto a una directory interna. La soluzione Identity Threat Detection and Response (ITDR) di Zscaler mitiga le minacce che prendono di mira l’identità degli utenti. Grazie al nuovo servizio, il rischio per le identità diventa quantificabile, le configurazioni errate vengono rilevate e il monitoraggio in tempo reale e l’escalation dei privilegi aiutano a prevenire le violazioni.
Infine – tornando all’esempio iniziale del deepfake di successo – è difficile credere che si possa trasferire così tanto denaro da un’azienda senza processi di verifica che operano in background. E’ fondamentale che le aziende verifichino il livello di rischio complessivo di tali processi all’interno della loro infrastruttura. Se si mettessero in atto solidi processi amministrativi per ridurre i rischi, non solo dal punto di vista della sicurezza, ma anche per i processi operativi come l’autenticazione dei pagamenti, le barriere contro gli attacchi aumenterebbero notevolmente. Non tutto deve essere migliorato da una soluzione tecnologica. A volte una nuova procedura in cui due persone devono firmare un trasferimento di fondi può essere il passaggio che evita all’azienda di perdere 25 milioni di dollari.