Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Con l’evoluzione dei LLM e dei sistemi di Intelligenza Artificiale, il confine fra verità o finzione si fa sempre più labile. E questo i cybercriminali lo sanno bene, pertanto utilizzano e ne fanno e faranno sempre più ampio e frequente impiego per realizzare le proprie truffe online. Truffe che, pur vestendosi di nuove e scintillanti tecnologie e la maschera del deepfake scam, non possono fare a meno di ricorrere a tecniche di inganno per bypassare ogni difesa e regola di prudenza.
Conoscere gli schemi di queste frodi online è dunque necessario per maturare al meglio la propria cyber hygiene, ovverosia l’insieme di pratiche utili per mantenersi al sicuro.
Similmente a come avviene all’interno di un numero di magia, l’inganno richiede sempre l’inconsapevole collaborazione della vittima designata. In entrambi gli scenari, meraviglia e smarrimento sono reazioni su cui conta tanto l’illusionista quanto il cybercriminale.
Volendo citando il film The Prestige, c’è una tripartizione in tre atti: promessa, svolta e prestigio. Nella promessa, qualcosa di ordinario viene presentato allo spettatore per conquistarne la fiducia. Nella svolta, l’ordinarietà viene stravolta e si realizza qualcosa di inatteso destando un senso di meraviglia e smarrimento ed ecco che si realizza l’inganno. Nel prestigio, infine, accade l’impossibile.
«Ogni numero di magia è composto da tre parti o atti. La prima parte è chiamata “la promessa”. L’illusionista vi mostra qualcosa di ordinario: un mazzo di carte, un uccellino o un uomo. Vi mostra questo oggetto. Magari vi chiede di ispezionarlo, di controllare che sia davvero reale… sì, inalterato, normale. Ma ovviamente… è probabile che non lo sia. […] Il secondo atto è chiamato “la svolta”. L’illusionista prende quel qualcosa di ordinario e lo trasforma in qualcosa di straordinario. Ora voi state cercando il segreto… ma non lo troverete, perché in realtà non state davvero guardando. Voi non volete saperlo. Voi volete essere ingannati. Ma ancora non applaudite. Perché far sparire qualcosa non è sufficiente; bisogna anche farla riapparire. Ecco perché ogni numero di magia ha un terzo atto, la parte più ardua, la parte che chiamiamo “il prestigio”».
Ecco: nelle truffe cyber avviene più o meno lo stesso ma senza un applauso alla fine. Anzi, talvolta la vittima potrebbe addirittura restare nell’inconsapevolezza d’essere stata truffata come accade ad esempio nei casi in cui il bottino sono i dati personali e si realizza un furto d’identità. Il più delle volte quando si produrranno gli impatti negativi la vittima realizzerà solamente che qualcuno si è appropriato della propria identità ma non sa né come né quando è accaduto il tutto, salvo buon fine delle indagini. Altre volte, invece, la vittima è pienamente consapevole di aver subito una truffa, dal momento che il danno è una conseguenza immediata e diretta di quel gioco di prestigio a cui ha partecipato. L’esempio più lampante in questo caso è fornito dalla perdita economica o dalla perdita degli accessi al proprio account.
Un deepfake agisce con successo fintanto che non si dubita della sua genuinità. Ma se le tecnologie di Intelligenza Artificiale consentono di emulare testi e tone of voice, immagini, voci e video, in che modo si può contrastare questa aumentata capacità illusoria dei cybercriminali? Semplice: dubitando. Per riconquistare il dominio delle proprie azioni.
Dubitare sì, ma dubitare bene. Dopotutto chi ha detto che l’approccio di Zero Trust Security si applica solo alla postura di sicurezza di aziende e organizzazioni? In fondo, l’essere umano è a sua volta un sistema complesso fatto di pensieri, emozioni, bias, conoscenze e quant’altro. Layer che si stratificano e contribuiscono a comporre quegli schemi studiati da un bravo ingegnere sociale per progettare truffe che vadano a buon segno. Ecco che l’adagio non fidarsi mai, verificare sempre può utilmente essere declinato a livello individuale come metodo di contrasto.
Bisogna ragionare distinguendo la forma dalla sostanza. Essere consapevoli che la forma può sempre essere emulata fino ad apparire più che verosimigliante. Terribilmente attendibile, al punto da fornirci quella comfort zone di trovarci all’interno di una situazione ordinaria e per nulla allarmante. Ricordate la promessa? Ecco: proprio quella fase. Il focus della nostra attenzione e della prudenza – e dunque l’elemento da verificare – deve invece spostarsi sulla sostanza. Quale azione ci viene richiesta e quali sono le sue conseguenze? Insomma: focalizzandoci sull’azione che viene richiesta o indotta e sulle conseguenze, ecco che possiamo disinnescare lo schema fraudolento. Se invece ci distraiamo troppo sull’indagare circa la genuinità di quel gancio iniziale, il rischio è non solo quello di disperdere attenzione ma, nel caso in cui ci dovessimo trovare di fronte a un deepfake veramente indistinguibile dalla realtà, quello di incorrere nell’overconfidence bias sovrastimando la
Dopotutto, se siamo convinti di aver accertato che il mittente è genuino, il rischio è che potremmo distoglierci dall’analizzare con la dovuta prudenza il contenuto della richiesta. Soprattutto se non c’è una call to action esplicita ma anzi l’induzione di un determinato pensiero che porterà ad un’azione prevedibile. L’esempio più ricorrente è quello di presentare le conseguenze negative dell’inerzia per spingere a svolgere un’azione o una serie di passaggi attraverso un pattern attentamente studiato per ottenere l’esito desiderato dal cybercriminale.
Un esempio pratico può essere quello offerto dalla truffa della finta multa. L’azione indotta è quella di provvedere immediatamente al pagamento, dal momento che viene comunicato che in caso di ritardo si andrà incontro ad una maggiorazione. Ecco che si viene incanalati all’interno di un percorso che porterà prima a cedere i propri dati anagrafici e poi i dati della propria carta di credito (inclusi OTP e PIN).
Più siamo consapevoli e coscienti del funzionamento di truffe, tecnologie e dinamiche del nostro pensiero e comportamento, meno è probabile che saremo facili vittime di queste truffe. Attenzione però a ritenersi immuni, dal momento che torna in gioco l’overconfidence bias e non c’è niente di peggio dell’eccesso di fiducia basato su una falsa o distorta percezione di sicurezza. Sia quando agiamo in ambito personale sia quando agiamo come parte di un’organizzazione la quale subirà le conseguenze dei nostri errori. E che è chiamata ad agire per mitigare questa componente di rischio.
Dal momento che la persona è sempre la stessa, le prassi di sicurezza e di cyber hygiene ovviamente si applicano tanto nella vita privata che in quella lavorativa. Ecco dunque il motivo per cui le organizzazioni devono sempre formare e sensibilizzare il personale in quanto è una misura di mitigazione del rischio cyber e delle informazioni. Se possibile, evitando di fare ricorso a slide incomprensibili, markettare, scritte in legalese stretto o altrimenti inaccessibili per chi non abbia almeno un paio di PhD. Sostanzialmente, si tratta di fare corsi e interventi utili ed evitare per quanto possibile i molti fuffaguru in salsa cyber.
Un suggerimento utile per filtrare almeno in parte venditori di fumo e cialtroni più o meno prezzolati è vedere se offrono “soluzioni” che seguono il claim one size fits all e la cui fascinazione è paragonabile non alla canzone dei Rammstein da cui è tratta la citazione (giammai) bensì a qualche tipo di elisir salvifico. Che, al di fuori di un tavolo di D&D o altri tipo di quest, semplicemente non esiste.
Quel che occorre è progettare ed attuare programmi di formazione e sensibilizzazione che, quanto meno, tengano conto tanto dei destinatari quanto del contesto di riferimento. Coinvolgendo sempre le funzioni HR, IT, DPO e CISO (ove presenti). Nel migliore dei mondi, anche i referenti di area/ufficio/settore/processo/etc. che possano aiutare a comprendere proprio quel contesto senza il quale le nozioni, nella migliore delle ipotesi, saranno diluite omeopaticamente. Da non trascurare, infine, è l’attività di raccolta di feedback relativi alle misure predisposte e quella di verifica dell’efficacia delle stesse in ottica di miglioramento continuo.
Infine, non si deve mai dimenticare che nel momento in cui si rinuncia a stimolare, provocare e seguire la curiosità viene meno il carburante fondamentale di quella capacità di dubitare che è in grado di dissipare l’effetto delle illusioni. Con i cybercriminali che, pur felicitandosi dell’accaduto, non si degneranno neanche di ringraziarci con un profondo inchino dal palcoscenico. In qualche caso, si limiteranno ad una dedica tramite ransom note.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia