Nell'ambito del panorama complesso e articolato legato alle applicazioni di AI, ogni giorno si scoprono sfaccettature diverse sia lato difesa che lato attacco. Una recente pubblicazione di ESET mette in guardia dallo sfruttamento dannoso dell’AI per il potenziamento delle frodi legate all'identità. Le frodi d'identità consistono nell'uso non autorizzato di informazioni personali al fine di commettere reati quali per esempio l’accesso ai conti bancari della vittima. Per inciso, le frodi di questo tipo esistono da tempo; l’AI ha permesso di renderle più difficili da distinguere sia per le vittime sia per le istituzioni finanziarie grazie all’impiego dei deepfake.

I dati pubblicati da Signicat sono piuttosto chiari al riguardo: le frodi condotte con il supporto dell’AI rappresentano il 43% di tutti i tentativi di frode registrati nel settore finanziario e dei pagamenti. Di questi, quasi un terzo ha avuto successo. Per questo gli esperti di ESET hanno ritenuto interessante riassumere gli strumenti che gli attaccanti stanno sfruttando per perfezionare le proprie tecniche di frode.

Deepfake e frodi di identità

La maggior parte delle persone è abituata a sentire parlare di deepfake in relazione alla misinformazione (per esempio i video fake circolati in concomitanza con le elezioni statunitensi), ma le applicazioni di questa tecnologia sono molteplici. Si pensi per esempio all’uso del deepfake per il controllo e la creazione di account: i truffatori impersonano utenti legittimi con audio e video realizzati ad hoc dall’AI, così da superare le verifiche delle istituzioni finanziarie. In genere questa truffa è ai danni di personaggi pubblici, perché l’AI viene addestrata usando immagini o video presenti sul web. I video fake così realizzati vengono inseriti nel flusso di dati tra l'utente e il fornitore di servizi per ingannare i sistemi di autenticazione.

Sempre nell’ambito del deepfake ci sono poi la generazione di audio e video falsi creati con l’intento di ingannare amici e familiari, inscenando per esempio i cosiddetti "rapimenti virtuali", in cui i parenti ricevono una chiamata da un cyber criminale che afferma di aver rapito un loro caro, e che chiede il pagamento di un riscatto per la sua liberazione.

Un’altra opzione è l’uso dell’AI per la falsificazione di documenti. Un tempo i falsari creavano documenti fisici contraffatti per consentire ai criminali di aprire nuovi conti correnti a nome delle vittime. Oggi, grazie all'IA, questo lavoro si svolge online: i falsari accedono a modelli di documenti online o utilizzano immagini ottenute da data breach, quindi usano software avanzati per modificare foto e dati e creare documenti tanto falsi quanto convincenti.

Non sono poi da dimenticare le cosiddette frodi sintetiche, ossia la creazione di nuove identità che si ottengono combinando informazioni reali (rubate) e dati inventati, oppure generando identità completamente fittizie, usate per aprire conti correnti. È proprio il mix delle due fonti di dati ad aumenta le probabilità di successo di queste frodi.

Come difendersi

Le tecniche di difesa sono sempre le stesse e partono dall’applicazione delle norme comuni di cyber igiene: formazione sulle tecniche di frode emergenti, consapevolezza dei rischi, attuazione dell’autenticazione a più fattori, l’installazione di software di prevenzione e difesa di ultima generazione. Per quello che riguarda gli istituti bancari, invece, gli esperi caldeggiano la collaborazione intersettoriale per sviluppare strategie efficaci contro le frodi alimentate dall'AI.