Come individuare una truffa deepfake

I deepfake sono ormai parte della nostra quotidianità, sia a livello personale che professionale, grazie alla loro crescente sofisticazione. L’accesso facilitato agli strumenti di intelligenza artificiale ha migliorato notevolmente la capacità di imitare voce e movenze umane. Con il costo ridotto di queste tecnologie, i deepfake sono diventati sempre più comuni e convincenti.

La minaccia dei deepfake

Recenti ricerche dimostrano che bastano meno di 30 secondi di conversazione per creare un deepfake della voce di una persona, che può essere utilizzato senza limiti di tempo e a costo quasi nullo. Questa minaccia si estende ora anche ai video. Il numero di attacchi deepfake è cresciuto in modo allarmante: un rapporto di Sumsub Research del 2023 mostra un aumento globale di dieci volte rispetto al 2022, con un incremento del 1.740% in Nord America.

Per le aziende, la preoccupazione principale è che un dirigente possa essere impersonato da un deepfake, o che un dipendente con accessi privilegiati venga ingannato. Un esempio eclatante è il caso di un dipendente di Hong Kong, che ha autorizzato un pagamento di 25 milioni di dollari dopo una videoconferenza con quello che sembrava essere il direttore finanziario dell’azienda e altri colleghi, tutti deepfake. Questo incidente evidenzia l’evoluzione della tecnologia e il suo potenziale come vettore di minacce per le truffe aziendali.

Come difendersi dai deepfake

Per proteggersi, è essenziale adottare alcune precauzioni. Ecco tre strategie suggerite da Check Point:

Controllo di “vitalità”: Chiedere alla persona in video di girare la testa da un lato all’altro. Gli attuali strumenti di IA non riescono a creare immagini tridimensionali realistiche e potrebbero fallire nel renderizzare correttamente movimenti laterali. Se il volto scompare o appare innaturale, è meglio interrompere la chiamata.

Verifica della piattaforma: Controllare se i partecipanti utilizzano una versione con licenza aziendale del software di videoconferenza, che spesso mostra un URL personalizzato (es. nomeazienda.videoplatform.com). Comunicare in anticipo tramite un metodo diverso, come e-mail o chat, può rafforzare la fiducia. Se il meeting viene avviato da un account personale o qualcuno si unisce senza preavviso, potrebbe essere un segnale d’allarme.

Parole chiave interne: Concordare parole chiave da verificare tramite un canale diverso prima di eseguire azioni sensibili come trasferimenti di denaro. Questo approccio avrebbe evitato la truffa del dipendente di Hong Kong, che avrebbe potuto chiedere al CFO una parola d’ordine verificata separatamente.

Rimanere vigili

I dipendenti devono essere cauti e utilizzare tutte le strategie disponibili per identificare i deepfake, mantenendosi aggiornati sull’evoluzione della tecnologia IA. Le aziende possono supportare questi sforzi implementando soluzioni di cybersecurity efficaci, come protezioni per le e-mail che possano rilevare e bloccare inviti a riunioni pericolosi. Data la crescente minaccia, è fondamentale avere una protezione completa.

Leggo anche: “dati e identità protetti dall’IA”

*illustrazione articolo progettata da  Freepik