Rimodellare il panorama delle minacce: sono arrivati ​​gli attacchi informatici deepfake

Le campagne dannose che coinvolgono l’uso di tecnologie deepfake sono molto più vicine di quanto molti potrebbero supporre. Inoltre, la loro mitigazione e il loro rilevamento sono difficili.

Un nuovo studio sull’uso e l’abuso dei deepfake da parte dei criminali informatici mostra che tutti gli elementi necessari per un uso diffuso della tecnologia sono presenti e prontamente disponibili nei mercati clandestini e nei forum aperti. Lo studio di Trend Micro mostra che molte truffe promozionali, di phishing abilitate ai deepfake, di compromissione della posta elettronica aziendale (BEC) e di truffe promozionali stanno già accadendo e sono in corso rimodellando rapidamente il panorama delle minacce.

Non è più una minaccia ipotetica

"Da minacce ipotetiche e proof-of-concept, [gli attacchi abilitati al deepfake] sono passati alla fase in cui i criminali non maturi sono in grado di utilizzare tali tecnologie", afferma Vladimir Kropotov, ricercatore di sicurezza presso Trend Micro e autore principale di uno studio rapporto sull'argomento rilasciato dal fornitore di sicurezza questa settimana. 

"Abbiamo già visto come i deepfake siano integrati negli attacchi contro istituti finanziari, truffe e tentativi di impersonare politici", afferma, aggiungendo che ciò che è spaventoso è che molti di questi attacchi utilizzano identità di persone reali, spesso estratte dai contenuti che pubblicano sui social. reti mediali.

Uno dei principali risultati dello studio di Trend Micro è la pronta disponibilità di strumenti, immagini e video per generare deepfake. Il fornitore di sicurezza ha scoperto, ad esempio, che diversi forum, incluso GitHub, offrono codice sorgente per lo sviluppo di deepfake a chiunque lo desideri. Allo stesso modo, sono disponibili immagini e video di qualità sufficiente di individui comuni e personaggi pubblici affinché i malintenzionati possano creare milioni di identità false o impersonare politici, imprenditori e altre personalità famose.

Anche nei forum clandestini cresce la richiesta di servizi deepfake e di persone con competenze sull’argomento. Trend Micro ha trovato annunci di criminali alla ricerca di queste competenze per realizzare truffe e frodi sulle criptovalute mirate a singoli conti finanziari. 

"Gli attori possono già impersonare e rubare l'identità di politici, dirigenti di livello C e celebrità", ha affermato Trend Micro nel suo rapporto. “Ciò potrebbe aumentare significativamente il tasso di successo di alcuni attacchi come schemi finanziari, campagne di disinformazione di breve durata, manipolazione dell’opinione pubblica ed estorsione”.

Una pletora di rischi

Esiste anche un rischio crescente che identità rubate o ricreate appartenenti a persone comuni vengano utilizzate per frodare le vittime impersonificate o per condurre attività dannose sotto le loro identità. 

In molti gruppi di discussione, Trend Micro ha riscontrato che gli utenti discutevano attivamente su come utilizzare i deepfake per aggirare i controlli bancari e altri controlli di verifica degli account, in particolare quelli che coinvolgono metodi di verifica video e faccia a faccia.

Ad esempio, i criminali potrebbero utilizzare l'identità di una vittima e utilizzare un suo video deepfake per aprire conti bancari, che potrebbero successivamente essere utilizzati per attività di riciclaggio di denaro. Allo stesso modo possono dirottare account, impersonare dirigenti di alto livello di organizzazioni per avviare trasferimenti di denaro fraudolenti o inserire prove false per estorcere individui, ha affermato Trend Micro. 

Dispositivi come Alexa di Amazon e iPhone, che utilizzano il riconoscimento vocale o facciale, potrebbero presto essere nell'elenco dei dispositivi bersaglio per attacchi basati su deepfake, ha osservato il fornitore di sicurezza.

“Poiché molte aziende lavorano ancora in modalità remota o mista, aumenta il rischio di imitazione di personale nelle teleconferenze che possono influenzare le comunicazioni aziendali interne ed esterne, i processi aziendali sensibili e i flussi finanziari”, afferma Kropotov.

Trend Micro non è il solo a lanciare l'allarme sui deepfake. Un recente sondaggio online condotto da VMware su 125 professionisti della sicurezza informatica e della risposta agli incidenti ha inoltre rilevato che le minacce abilitate al deepfake non arrivano solo: sono già qui. Un sorprendente 66% – in aumento del 13% rispetto al 2021 – degli intervistati ha affermato di aver subito un incidente di sicurezza relativo all’uso di deepfake negli ultimi 12 mesi.

“Esempi di attacchi deepfake [già] testimoniati includono le chiamate vocali del CEO a un CFO portando ad un bonifico bancario, nonché le chiamate dei dipendenti all'IT per avviare la reimpostazione della password", afferma Rick McElroy, principale stratega della sicurezza informatica di VMware.

Poche mitigazioni per gli attacchi deepfake e il rilevamento è difficile

In generale, questi tipi di attacchi possono essere efficaci, perché non sono ancora disponibili soluzioni tecnologiche per affrontare la sfida, afferma McElroy. 

"Dato il crescente utilizzo e la sofisticatezza nella creazione di deepfake, considero questa come una delle maggiori minacce per le organizzazioni dal punto di vista delle frodi e delle truffe", avverte. 

Il modo più efficace per mitigare la minaccia attualmente è quello di aumentare la consapevolezza del problema tra i team finanziari, dirigenti e IT che sono i principali obiettivi di questi attacchi di ingegneria sociale. 

“Le organizzazioni possono prendere in considerazione metodi a bassa tecnologia per interrompere il ciclo. Ciò può includere l’uso di una sfida e di una passphrase tra i dirigenti quando si trasferiscono soldi da un’organizzazione o un processo di approvazione verificato in due fasi”, afferma.

Anche Gil Dabah, cofondatore e amministratore delegato di Piaano, raccomanda un rigoroso controllo degli accessi come misura attenuante. Nessun utente dovrebbe avere accesso a grandi quantità di dati personali e le organizzazioni devono impostare limiti di velocità e rilevamento di anomalie, afferma.

"Anche sistemi come la business intelligence, che richiedono l'analisi di big data, dovrebbero accedere solo a dati mascherati", osserva Dabah, aggiungendo che nessun dato personale sensibile dovrebbe essere conservato in chiaro e dati come le PII dovrebbero essere tokenizzati e protetti.

Nel frattempo, sul fronte del rilevamento, si registrano sviluppi in tecnologie come quelle basate sull’intelligenza artificiale Reti del contraddittorio generativo (GAN) hanno reso più difficile il rilevamento dei deepfake. "Ciò significa che non possiamo fare affidamento su contenuti che contengono indizi 'artefatti' che indicano che c'è stata un'alterazione", afferma Lou Steinberg, co-fondatore e socio amministratore di CTM Insights.

Per rilevare i contenuti manipolati, le organizzazioni hanno bisogno di impronte digitali o firme che dimostrino che qualcosa è rimasto invariato, aggiunge.

"Ancora meglio è prendere microimpronte digitali su porzioni di contenuto ed essere in grado di identificare cosa è cambiato e cosa no", dice. "Ciò è molto utile quando un'immagine è stata modificata, ma lo è ancora di più quando qualcuno sta cercando di nascondere un'immagine al rilevamento."

Tre ampie categorie di minacce

Steinberg afferma che le minacce deepfake rientrano in tre grandi categorie. Il primo riguarda le campagne di disinformazione che comportano principalmente modifiche a contenuti legittimi per cambiarne il significato. Ad esempio, Steinberg cita gli attori di uno stato-nazione che utilizzano immagini e video fake sui social media o inseriscono qualcuno in una foto che non era presente originariamente, qualcosa che viene spesso utilizzato per cose come l'approvazione implicita di prodotti o il porno di vendetta.

Un'altra categoria prevede sottili modifiche a immagini, loghi e altri contenuti per aggirare gli strumenti di rilevamento automatico come quelli utilizzati per rilevare i loghi di prodotti contraffatti, le immagini utilizzate nelle campagne di phishing o persino gli strumenti per rilevare la pornografia infantile.

La terza categoria riguarda i deepfake sintetici o compositi derivati ​​da una raccolta di originali per creare qualcosa di completamente nuovo, afferma Steinberg. 

"Abbiamo iniziato a vederlo con l'audio qualche anno fa, utilizzando il parlato sintetizzato dal computer per sconfiggere le impronte vocali nei call center dei servizi finanziari", afferma. "Il video viene ora utilizzato per cose come una versione moderna della compromissione della posta elettronica aziendale o per danneggiare la reputazione facendo 'dire' a qualcuno qualcosa che non ha mai detto."