Un caso di dominio pubblico riaccende i riflettori sulla necessita di formazione contro le truffe cyber.
Autore: Redazione SecurityOpenLab
“Finché funzionerà la truffa del principe nigeriano, gli attaccanti non avranno motivo di usare l’intelligenza artificiale per produrre malware più sofisticati di quelli attuali”: è una delle osservazioni emerse nell’ambito di una recente discussione sul tema AI e LLM con un esperto di cybersecurity. E calza perfettamente con il “caso” del fine settimana, la truffa (o la tentata tale) ai danni di danarosi industriali italiani portata avanti con un clone vocale del Ministro Crosetto o di suoi collaboratori.
Il caso è noto perché ha tappezzato i quotidiani nazionali: Massimo Moratti, Marco Tronchetti Provera, Diego Della Valle, Giorgio Armani, Patrizio Bertelli, le famiglie Caltagirone, Del Vecchio e Aleotti sono stati contattati da un personaggio che sosteneva di essere il Ministro Crosetto o un componente del suo staff, che con urgenza e assolta riservatezza chiedeva il versamento di cifre a svariati zeri per liberare non meglio precisati giornalisti rapiti in Medio Oriente.
Qualcuno probabilmente ha abboccato. Qualcuno ha telefonato al vero ministro e ha sventato la truffa. Qualcuno è stato salvato da una zelante segreteria che ha avuto l’illuminazione di chiedere l’invio di una nota per iscritto – ovviamente mai pervenuta.
Il senso di urgenza è un elemento costante delle truffe da prima che si iniziasse a parlare di AI. Anche da prima del principe nigeriano. La fretta mette ansia, l’ansia porta a prendere decisioni non ragionate e a non analizzare le cose in maniera analitica. Anche le truffe via telefono non sono una new entry, e sono in forte aumento i cosiddetti attacchi conversazionali: figli in difficoltà che chiedono soldi, banche che minacciano di disattivare le carte di credito, rimborsi mai incassati… la lista è lunga e fuori di dubbio fantasiosa.
L’elemento di novità in questo caso è l’imitazione della voce del Ministro Crosetto, che in quanto personaggio pubblico ha una forte presenza mediatica, che semplifica l’addestramento di una AI al fine di ottenere una sintesi vocale credibile al telefono. I video fake circolati in occasione delle elezioni presidenziali americane hanno ampiamente dimostrato come sia facile “mettere in bocca” a un politico affermazioni del tutto inventate.
Il resto è stato un abile lavoro di social engineering, ossia di elementi che nel complesso hanno preparato lo scenario perfetto, a partire dalla recente vicenda della giornalista Cecilia Sala detenuta in Iran, che ha costituito l’aggancio di attualità perfetto per ideare la menzogna di altri giornalisti tenuti prigionieri o sequestrati in Iran. L’attualità è un altro elemento spesso presente nelle truffe, soprattutto in relazione ad eventi che hanno suscitato apprensione nel pubblico.
Le dichiarazioni sulle abilità degli attaccanti si sprecano, in realtà quello che deve stupire è che l’implementazione di una truffa come questa non ha richiesto menti eccelse – solo una discreta padronanza di strumenti ampiamente disponibili.
Che cosa ingegna, quindi, questa vicenda? Che serve formazione, per tutti i cittadini, a tutti i livelli. Che dagli studenti ai pensionati, tutte le persone devono sviluppare una maggiore consapevolezza riguardo al rischio cyber. Chi sviluppa gli attacchi cyber sa bene che gli utenti sono l’anello debole della catena; ci sono fasce della popolazione particolarmente vulnerabili (giovanissimi e pensionati); ci sono contesti (fuori ufficio, nel fine settimana o durante una vacanza) in cui anche una persona consapevole del rischio cyber tende ad abbassare la guardia.
Non vogliamo essere pessimisti scrivendo che quanto accaduto con la truffa oggetto di questo articolo è probabilmente la punta di un iceberg; semplicemente è realista aspettarsi la diffusione di minacce come quella in oggetto, perché gli attaccanti sono notoriamente fantasiosi e versatili quando c’è da ideare un modo illecito per incassare denaro.
Davanti a tecniche simili non c’è protezione cyber che tenga. L’unica opzione è un cambiamento di mentalità, è un approccio di mancanza di fiducia verso qualunque richiesta che fuoriesca dall’ordinario, insieme all’abitudine di prendersi il tempo di verificare tutto. Non c’è urgenza che tenga: se i figli sono in difficoltà si telefona a chi è con loro per chiedere conferma; se la banca revoca la carta di credito si va in filiale a capirne il motivo. Anche quando la richiesta non riguarda il denaro ma i propri dati personali (che per gli attaccanti valgono denaro), la prima reazione dev’essere una sana dose di diffidenza, che porta alla contro-verifica di qualsiasi richiesta pervenga via email, WhatsApp, SMS, telefono.