![Epifania amara per Codacons: "Finite le feste restano stangate, caro carburante e sanità al collasso"](https://www.valsesianotizie.it/typo3temp/pics/s_afc6260cd8.jpg "Epifania amara per Codacons: "Finite le feste restano stangate, caro carburante e sanità al collasso"")
Il nostro stereotipo di minaccia informatica ci dà una visione fredda e impersonale: un virus che ci cripta i dati o ci blocca i sistemi. Spesso identifichiamo gli attaccanti come entità prive di voce, volto e anima. Da qualche mese, però, questo muro è caduto grazie all’intelligenza artificiale, che ha completamente cambiato lo scenario delle minacce informatiche e delle truffe. La minaccia ha cambiato volto o, meglio, ha rubato la nostra voce.
Vediamo quali nuove armi hanno i criminali per ingannare non i computer, ma le persone, in modo più efficace che mai. Questa minaccia colpisce non solo gli individui e le famiglie, ma anche le aziende. Abbiamo però un metodo analogico "vecchio stile" che nessuna intelligenza artificiale può aggirare.
Un primo inganno arriva nel mondo del business delle nostre Piccole e Medie Imprese (PMI) mediante quella che in gergo viene chiamata Business Email Compromise (BEC). Sono ormai un lontano ricordo le mail di spam di qualche anno fa: sgrammaticate, con un pessimo italiano, confuse e a volte assurde.
Le attuali IA che usiamo tutti i giorni sono in grado di apprendere (è la loro natura) tramite il NLP (Natural Language Processing) il contesto, lo stile di scrittura e le imperfezioni caratteriali che abbiamo, semplicemente dandogli “in pasto” i nostri testi. Da qui ottengono un modello comportamentale tagliato esattamente su di noi. Basta fornirgli tutti i testi di cui hanno bisogno.
Come li ottengono? Dandogli in pasto i dati che ci hanno trafugato e di cui probabilmente non ci siamo accorti, perché esfiltrati in modo silente. Qui dentro l’IA che si vuole addestrare per “imitarci” trova tutto quello che le serve. Impara il nostro stile di scrittura, il gergo interno, persino i soprannomi che usiamo con i colleghi.
La classica truffa si chiama "Man-in-the-Mail" o "truffa del cambio IBAN". È perfettamente identica a tutte le comunicazioni precedentemente fatte: stesso stile, stesso gergo, ecc. Con la sola differenza che ci informano di aver cambiato IBAN.
La tecnica per ingannarci e simulare un nostro fornitore è quella del Typosquatting, che punta a ingannare la nostra vista: per la fretta siamo incapaci di campionare tutte le lettere e leggiamo il testo nel suo insieme. Per questo ci parrà identico il dominio del mittente, ad esempio fornitore-biella.it invece di fornitorebiella.it. Un trattino in mezzo, o ancor meglio un "1" al posto della "L", fanno il loro perfetto lavoro ingannevole.
Fino ad ora potevano salvarci solo due cose. La prima è la nostra capacità di analisi ("sistema 2" del nostro cervello, per chi mi ha seguito nei precedenti articoli), che ci fa insospettire di questo cambio importante e ci induce a fare ulteriori approfondimenti. La seconda è la telefonata che conferma quanto scritto. Chiamavamo il superiore o direttamente il fornitore per accertarci che la richiesta fosse vera.
Ed è qui che entra in gioco la novità dell'IA usata per imitarci. La telefonata parte pochi minuti dopo l’arrivo della mail. Dall’altra parte sentiamo il direttore finanziario del fornitore che "conferma" il cambio banca per rassicurare l'impiegato. La voce è clonata perfettamente dall’IA utilizzando la campionatura della voce, registrata durante una telefonata qualsiasi o di spam. Per far dire poi all’IA quello che vogliamo, le funzioni text-to-speech trasformano il testo generato con la voce dell’interlocutore. Immaginatevi Chat-GPT che utilizza la sintesi vocale di un vostro familiare per leggervi il testo che ha generato.
Questa strategia multicanale (mail + voce) è strutturata per saturare tutti i nostri controlli e sfruttare la fiducia umana.
Adottare la politica “Zero Trust” in azienda
È un metodo veramente semplice da adottare ed è per giunta gratis: adottare una mentalità "Zero Trust" (Fiducia Zero) nelle comunicazioni.
- Verifica incrociata. Nessun cambiamento di dati, a maggior ragione di quelli finanziari, può essere autorizzato con una semplice comunicazione via email. Occorre fare una doppia verifica (o meglio tripla) utilizzando mezzi diversi di comunicazione come, ad esempio, l’uso del telefono interno per chiamare il responsabile, oppure chiamando il fornitore al numero già certificato e utilizzato normalmente. MAI chiamare il numero indicato nella mail sospetta.
- Eliminare il senso di urgenza. L’IA può essere perfetta, ma spesso i truffatori instillano un senso di urgenza, chiedono riservatezza nella comunicazione o presentano imperfezioni ed errori che il nostro interlocutore reale non farebbe mai. Queste sono “crepe” che la simulazione dell’IA non riesce a nascondere.
Un bonifico solitamente è a 30/60/90 giorni, per cui possiamo permetterci di attendere uno o più giorni per fare le opportune verifiche. Se ci sollecitano subito, è quasi sicuramente una truffa. Questi semplici accorgimenti possono salvare la nostra reputazione e i nostri soldi.
Difesa familiare: Occhio a cosa condividete nei social!
Il fenomeno del voice-cloning (clonazione vocale) permette di replicare fedelmente la vostra voce da un video pubblicato sui social. Questo permette di simulare con un parente una telefonata che, in tutto e per tutto, sembra quella del figlio o del nipote. Le storie sui social sono quindi una miniera d’oro per chi perpetra queste truffe.
Quante volte abbiamo sentito al telegiornale delle truffe telefoniche agli anziani, con il finto nipote che deve essere liberato dopo aver causato un incidente? Immaginate se a fare la telefonata non fosse il truffatore, ma l’IA con la voce del familiare disperato. Tasso di credibilità: 100%.
La soluzione? Facilissima e a costo zero: la frase o password segreta detta a voce.
Concordate in famiglia una frase o una domanda di cui solo voi potete conoscere la risposta e che non sia mai stata messa in “digitale” da nessuna parte. L’IA non potrà mai attingere a questa informazione. Uno dei principi base della sicurezza delle informazioni è che “se il dato non ce l’ho, non me lo possono rubare”.
Non scrivetela mai in chat, nelle mail, non ditela al telefono: accordatevi solo verbalmente. "Verba volant, scripta manent". Un algoritmo, per quanto avanzato, non può conoscere un segreto che esiste solo nel mondo fisico.
Quindi, se avete il dubbio, riagganciate, chiamate il familiare e fategli la domanda segreta. Dopodiché accertatevi di cosa stia effettivamente capitando e se fosse lui/lei ad avervi chiamato. Se per caso il vostro familiare ha la linea impegnata, non preoccupatevi e non fatevi prendere dal panico. Spesso i truffatori tengono impegnata la linea del familiare proprio per evitare le contro-verifiche. In quel caso, forse è meglio contattare le forze dell’ordine.
Ricordatevi che il miglior antivirus del mondo siamo noi stessi!
Per maggiori informazioni:
Sito web: www.seccomarco.com