Stefano Gazzella : 25 Maggio 2025 08:10
Con l’evoluzione dei LLM e dei sistemi di Intelligenza Artificiale, il confine fra verità o finzione si fa sempre più labile. E questo i cybercriminali lo sanno bene, pertanto utilizzano e ne fanno e faranno sempre più ampio e frequente impiego per realizzare le proprie truffe online. Truffe che, pur vestendosi di nuove e scintillanti tecnologie e la maschera del deepfake scam, non possono fare a meno di ricorrere a tecniche di inganno per bypassare ogni difesa e regola di prudenza.
Conoscere gli schemi di queste frodi online è dunque necessario per maturare al meglio la propria cyber hygiene, ovverosia l’insieme di pratiche utili per mantenersi al sicuro.
Similmente a come avviene all’interno di un numero di magia, l’inganno richiede sempre l’inconsapevole collaborazione della vittima designata. In entrambi gli scenari, meraviglia e smarrimento sono reazioni su cui conta tanto l’illusionista quanto il cybercriminale.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Volendo citando il film The Prestige, c’è una tripartizione in tre atti: promessa, svolta e prestigio. Nella promessa, qualcosa di ordinario viene presentato allo spettatore per conquistarne la fiducia. Nella svolta, l’ordinarietà viene stravolta e si realizza qualcosa di inatteso destando un senso di meraviglia e smarrimento ed ecco che si realizza l’inganno. Nel prestigio, infine, accade l’impossibile.
«Ogni numero di magia è composto da tre parti o atti. La prima parte è chiamata “la promessa”. L’illusionista vi mostra qualcosa di ordinario: un mazzo di carte, un uccellino o un uomo. Vi mostra questo oggetto. Magari vi chiede di ispezionarlo, di controllare che sia davvero reale… sì, inalterato, normale. Ma ovviamente… è probabile che non lo sia. […] Il secondo atto è chiamato “la svolta”. L’illusionista prende quel qualcosa di ordinario e lo trasforma in qualcosa di straordinario. Ora voi state cercando il segreto… ma non lo troverete, perché in realtà non state davvero guardando. Voi non volete saperlo. Voi volete essere ingannati. Ma ancora non applaudite. Perché far sparire qualcosa non è sufficiente; bisogna anche farla riapparire. Ecco perché ogni numero di magia ha un terzo atto, la parte più ardua, la parte che chiamiamo “il prestigio”».
Ecco: nelle truffe cyber avviene più o meno lo stesso ma senza un applauso alla fine. Anzi, talvolta la vittima potrebbe addirittura restare nell’inconsapevolezza d’essere stata truffata come accade ad esempio nei casi in cui il bottino sono i dati personali e si realizza un furto d’identità. Il più delle volte quando si produrranno gli impatti negativi la vittima realizzerà solamente che qualcuno si è appropriato della propria identità ma non sa né come né quando è accaduto il tutto, salvo buon fine delle indagini. Altre volte, invece, la vittima è pienamente consapevole di aver subito una truffa, dal momento che il danno è una conseguenza immediata e diretta di quel gioco di prestigio a cui ha partecipato. L’esempio più lampante in questo caso è fornito dalla perdita economica o dalla perdita degli accessi al proprio account.
Un deepfake agisce con successo fintanto che non si dubita della sua genuinità. Ma se le tecnologie di Intelligenza Artificiale consentono di emulare testi e tone of voice, immagini, voci e video, in che modo si può contrastare questa aumentata capacità illusoria dei cybercriminali? Semplice: dubitando. Per riconquistare il dominio delle proprie azioni.
Dubitare sì, ma dubitare bene. Dopotutto chi ha detto che l’approccio di Zero Trust Security si applica solo alla postura di sicurezza di aziende e organizzazioni? In fondo, l’essere umano è a sua volta un sistema complesso fatto di pensieri, emozioni, bias, conoscenze e quant’altro. Layer che si stratificano e contribuiscono a comporre quegli schemi studiati da un bravo ingegnere sociale per progettare truffe che vadano a buon segno. Ecco che l’adagio non fidarsi mai, verificare sempre può utilmente essere declinato a livello individuale come metodo di contrasto.
Bisogna ragionare distinguendo la forma dalla sostanza. Essere consapevoli che la forma può sempre essere emulata fino ad apparire più che verosimigliante. Terribilmente attendibile, al punto da fornirci quella comfort zone di trovarci all’interno di una situazione ordinaria e per nulla allarmante. Ricordate la promessa? Ecco: proprio quella fase. Il focus della nostra attenzione e della prudenza – e dunque l’elemento da verificare – deve invece spostarsi sulla sostanza. Quale azione ci viene richiesta e quali sono le sue conseguenze? Insomma: focalizzandoci sull’azione che viene richiesta o indotta e sulle conseguenze, ecco che possiamo disinnescare lo schema fraudolento. Se invece ci distraiamo troppo sull’indagare circa la genuinità di quel gancio iniziale, il rischio è non solo quello di disperdere attenzione ma, nel caso in cui ci dovessimo trovare di fronte a un deepfake veramente indistinguibile dalla realtà, quello di incorrere nell’overconfidence bias sovrastimando la
Dopotutto, se siamo convinti di aver accertato che il mittente è genuino, il rischio è che potremmo distoglierci dall’analizzare con la dovuta prudenza il contenuto della richiesta. Soprattutto se non c’è una call to action esplicita ma anzi l’induzione di un determinato pensiero che porterà ad un’azione prevedibile. L’esempio più ricorrente è quello di presentare le conseguenze negative dell’inerzia per spingere a svolgere un’azione o una serie di passaggi attraverso un pattern attentamente studiato per ottenere l’esito desiderato dal cybercriminale.
Un esempio pratico può essere quello offerto dalla truffa della finta multa. L’azione indotta è quella di provvedere immediatamente al pagamento, dal momento che viene comunicato che in caso di ritardo si andrà incontro ad una maggiorazione. Ecco che si viene incanalati all’interno di un percorso che porterà prima a cedere i propri dati anagrafici e poi i dati della propria carta di credito (inclusi OTP e PIN).
Più siamo consapevoli e coscienti del funzionamento di truffe, tecnologie e dinamiche del nostro pensiero e comportamento, meno è probabile che saremo facili vittime di queste truffe. Attenzione però a ritenersi immuni, dal momento che torna in gioco l’overconfidence bias e non c’è niente di peggio dell’eccesso di fiducia basato su una falsa o distorta percezione di sicurezza. Sia quando agiamo in ambito personale sia quando agiamo come parte di un’organizzazione la quale subirà le conseguenze dei nostri errori. E che è chiamata ad agire per mitigare questa componente di rischio.
Dal momento che la persona è sempre la stessa, le prassi di sicurezza e di cyber hygiene ovviamente si applicano tanto nella vita privata che in quella lavorativa. Ecco dunque il motivo per cui le organizzazioni devono sempre formare e sensibilizzare il personale in quanto è una misura di mitigazione del rischio cyber e delle informazioni. Se possibile, evitando di fare ricorso a slide incomprensibili, markettare, scritte in legalese stretto o altrimenti inaccessibili per chi non abbia almeno un paio di PhD. Sostanzialmente, si tratta di fare corsi e interventi utili ed evitare per quanto possibile i molti fuffaguru in salsa cyber.
Un suggerimento utile per filtrare almeno in parte venditori di fumo e cialtroni più o meno prezzolati è vedere se offrono “soluzioni” che seguono il claim one size fits all e la cui fascinazione è paragonabile non alla canzone dei Rammstein da cui è tratta la citazione (giammai) bensì a qualche tipo di elisir salvifico. Che, al di fuori di un tavolo di D&D o altri tipo di quest, semplicemente non esiste.
Quel che occorre è progettare ed attuare programmi di formazione e sensibilizzazione che, quanto meno, tengano conto tanto dei destinatari quanto del contesto di riferimento. Coinvolgendo sempre le funzioni HR, IT, DPO e CISO (ove presenti). Nel migliore dei mondi, anche i referenti di area/ufficio/settore/processo/etc. che possano aiutare a comprendere proprio quel contesto senza il quale le nozioni, nella migliore delle ipotesi, saranno diluite omeopaticamente. Da non trascurare, infine, è l’attività di raccolta di feedback relativi alle misure predisposte e quella di verifica dell’efficacia delle stesse in ottica di miglioramento continuo.
Infine, non si deve mai dimenticare che nel momento in cui si rinuncia a stimolare, provocare e seguire la curiosità viene meno il carburante fondamentale di quella capacità di dubitare che è in grado di dissipare l’effetto delle illusioni. Con i cybercriminali che, pur felicitandosi dell’accaduto, non si degneranno neanche di ringraziarci con un profondo inchino dal palcoscenico. In qualche caso, si limiteranno ad una dedica tramite ransom note.
Stefano GazzellaSono state identificate diverse vulnerabilità nei prodotti Cisco Identity Services Engine (ISE) e Cisco ISE Passive Identity Connector (ISE-PIC) che potrebbero consentire a un utente malintenzion...
HackerHood, il team di hacker etici di Red Hot Cyber, ha realizzato qualcosa che raramente si vede fuori dalle conferenze più esclusive: un workshop live in cui viene mostrato, passo dopo passo, ...
Google ha rilasciato un aggiornamento di emergenza per il browser Chrome, eliminando sei vulnerabilità contemporaneamente, una delle quali è già attivamente sfruttata in attacchi reali....
L’operazione internazionale “Eastwood” rappresenta uno spartiacque nella lotta contro il cyberterrorismo. Per la prima volta, un’azione coordinata su scala mondiale ha infe...
Nell’ambito delle indagini condotte dalla Procura della Repubblica di Roma e con il coordinamento della Direzione Nazionale Antimafia e Antiterrorismo, la Polizia Postale ha portato a termine i...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
