Con qualsiasi nuova tecnologia, sorgono rapidamente preoccupazioni che non solo porterà vantaggi per le aziende, ma anche che potrebbe rendere la vita più difficile alle aziende di sicurezza. L’intelligenza artificiale generativa non fa eccezione.
“I casi in cui le persone e le organizzazioni in genere perdono più denaro è attraverso tutti i tipi di frode: ingegneria sociale, phishing, macellazione di maiali, truffe romantiche, ecc.”, ha affermato Shannon Murphy, stratega della sicurezza globale e del rischio presso Trend Micro. Ha tenuto il suo discorso all’evento Risk to Resilience ad Anversa. E questa frode si evolve con la tecnologia. Murphy ritiene inoltre che l’intelligenza artificiale generativa abbia un impatto principale sul phishing.
Ecco come tecnologie come ChatGPT rendono più semplice e veloce l’invio di e-mail fraudolente credibili. Si pensi in particolare alle massicce e-mail inviate dai principi nigeriani o alle e-mail di phishing camuffate da messaggi di corriere. A seconda della qualità, di solito vengono cliccati da persone che non sono veramente esperte di tecnologia. “Prima che esistessero modelli linguistici di grandi dimensioni, si poteva insegnare alle persone a notare se il testo dell’e-mail era un po’ strano, se il dominio era sbagliato, ecc.”, ha spiegato Murphy. Ma con un servizio pensato appositamente per imitare i testi umani, diventa molto più difficile. “Se sei un hacker russo, ad esempio, non è più un problema se non parli bene l’inglese. Scriverai quindi e-mail fraudolente in modo molto più efficiente e migliore grazie all’intelligenza artificiale generativa.’
Murphy sottolinea che un utente malintenzionato non ha nemmeno bisogno di una forma illegale di questi strumenti. “Non hai bisogno di ‘DarkGPT’ per questo, puoi semplicemente farti scrivere un’e-mail gratuitamente sul Web classico.” Ciò significa che anche la formazione sul phishing deve cambiare. “Non potrete più incolpare le vittime, ma dovrete fare maggiore affidamento sulla tecnologia per rilevare più rapidamente questo tipo di e-mail.”
“Grazie a questo miglioramento della qualità, il divario tra questo tipo di ‘phishing’ e lo ‘spear phishing’ si sta riducendo”, ha affermato Shannon Murphy. Lo spear phishing è una forma di phishing più laboriosa con la quale gli aggressori spesso cercano di intrappolare determinati dipendenti di un’azienda con argomenti che potrebbero interessarli.
Iper-falsi
Tuttavia, ciò che attira ancora di più l’immaginazione è l’uso dei “deepfakes” (iper-fake) per scopi fraudolenti. “Anche in questo caso è possibile utilizzare solo strumenti legali”, ha chiarito Murphy. Con i deepfake si crea un clone credibile della voce o delle immagini video di una persona, ad esempio l’amministratore delegato di un’azienda. Potrai quindi fargli dire quello che vuoi. In politica, questo tipo di tecnologia può essere utilizzata per danneggiare la reputazione, mentre nel mondo aziendale per frodare. Ad esempio, supponiamo di ricevere una telefonata e la voce del ‘CFO’ ti chiede di effettuare rapidamente un trasferimento.
«I nostri processi devono quindi essere adattati. Tra l’altro intorno all’approvazione delle transazioni finanziarie. Se vi trovate nello stesso ufficio, è utile ricontrollare. Ma molte persone lavorano da casa o per una multinazionale con uffici in diversi paesi”, ha detto Murphy. «Quindi è necessario assicurarsi di avere un elenco delle persone coinvolte, preferibilmente diverse, che devono approvarlo. Puoi anche lavorare con termini in codice per dimostrare che sei davvero tu. La maggior parte dei modi per combattere questo tipo di criminalità informatica non sono di natura tecnologica, ma riguardano processi e cultura interna. “Devi anche assicurarti che i tuoi colleghi si sentano abbastanza a loro agio da dire se non si fidano di un’e-mail.”
