12.12.2023 - L’NCSC osserva un aumento nell’impiego della cosiddetta intelligenza artificiale (IA) a scopo di phishing e truffe. Questa retrospettiva illustra tre esempi in cui l’IA svolge già un ruolo importante.
Generare modelli di phishing con l’IA nel darknet
Spesso le e-mail di phishing sono riconoscibili non solo dal mittente e dal link sospetto ivi contenuto, ma anche dagli aspetti linguistici e formali del messaggio. Di regola i truffatori non parlano l’italiano e perciò si affidano a traduzioni e modelli copiati. Nella fase concreta di attuazione i truffatori commettono spesso degli errori, a volte mischiando persino diverse lingue.
Per questo motivo, anche i truffatori si avvalgono sempre più spesso dell’IA: attraverso requisiti linguistici definiti nel modo più chiaro possibile possono essere generati corrispondenti modelli che sembrano autentici a tutti gli effetti.
Per contrastare questa pratica, il modello di linguaggio più conosciuto basato sull’IA, vale a dire ChatGPT, ha programmato dei meccanismi che evitano la creazione di modelli da utilizzare a scopo di truffa.
Nel darknet è tuttavia già possibile acquistare l’accesso a modelli di linguaggio specializzati, con cui possono ad esempio essere generate e-mail e pagine di phishing impeccabili dal punto di vista della formulazione e del layout.
Ciononostante, questi messaggi impeccabili continueranno a contenere un link fraudolento che non indica un servizio del presunto mittente. Una rapida occhiata al link contenuto in un messaggio che invita a cliccarci sopra rimane quindi un elemento importante delle misure di sicurezza.
Falsificare immagini e filmati con l’IA
Oggigiorno oramai esistono anche degli strumenti che permettono di creare materiale grafico difficilmente riconoscibile come truffa. Alimentando i corrispondenti modelli di IA con immagini di persone realmente esistenti, ad esempio con foto caricate sui social media, è possibile generare nuove immagini che non sono mai state scattate ma che danno l’impressione di essere autentiche.
Lo stesso vale anche per i filmati: con poco materiale di base di una persona è possibile generarne di nuovi. Le vittime sono spesso persone di cui esistono molti filmati, ovvero personalità conosciute come i consiglieri federali.
All’NCSC sono già stati segnalati casi in cui i truffatori utilizzano i seguenti approcci.
- Pubblicità per truffa dell’investimento online:
avvalendosi del viso e della voce di un personaggio famoso, alla vittima viene suggerito di effettuare un piccolo investimento su una piattaforma online al fine di guadagnare molto denaro. Il grado di notorietà della persona ispira fiducia nella vittima. Il denaro versato non viene realmente investito, ma finisce direttamente nelle tasche dei truffatori.
- Campagne give-away fraudolente:
un personaggio famoso racconta in un filmato costruito che il doppio dei pagamenti in bitcoin versati in un determinato wallet verrà rimborsato ai fini di un atto caritatevole. Ovviamente gli importi versati in questo wallet vengono subito intascati dai truffatori: tutto il denaro trasmesso a questa borsa virtuale è perso. Simili filmati vengono pubblicati sulle piattaforme conosciute e pubblicizzati attraverso i canali dei social media.
Per maggiori informazioni al riguardo rimandiamo alla retrospettiva della settimana 17: video promozionale falso per una truffa «give away».
- Sextortion:
i truffatori ricattano la vittima con foto compromettenti generate dall’IA e minacciano di pubblicarle. Chiunque osservi la foto fatica a capire che solo il viso appartiene alla vittima e il resto è stato aggiunto con l’ausilio dell’IA. In alcune circostanze, se è disponibile materiale visivo adeguato, è possibile persino aggiungere una stanza o un ambiente familiare.
Falsificare voci con l’IA
A partire da campioni vocali registrati («voice samples») della persona interessata, che possono ad esempio anche essere ricavati da telefonate, è possibile far sì che modelli di IA riproducano un testo scritto o la lingua parlata in modo tale che la voce sintetizzata possa essere facilmente scambiata per quella vera.
Queste voci vengono, ad esempio, impiegate per effettuare telefonate scioccanti. Un presunto poliziotto chiama la vittima, spiega che il figlio è stato coinvolto in un incidente ed esorta la vittima a pagare una cauzione. Come prova e strumento di pressione viene riprodotta una registrazione fasulla nella quale la persona chiede aiuto con una voce familiare alla vittima.
Raccomandazioni:
- Non aprite link contenuti in e-mail o SMS che vi invitano a cliccarci sopra.
- Controllate il dominio di destinazione dei link su cui cliccate. Il link combacia con il presunto mittente?
- Non inserite mai password, codici o dati della carta di credito su una pagina aperta tramite un link contenuto in un’e-mail o in un SMS.
- Analizzate criticamente le offerte o le possibilità di vincita che sembrano «troppo belle per essere vere».
- Chiudete le chiamate strane o inquietanti che fingono un problema di un vostro parente. Contattate invece questo parente tramite un altro canale e, in caso di dubbi, anche la polizia.
- Se venite ricattati con immagini compromettenti, anche se fasulle, informate la polizia. Interrompete i contatti con i truffatori e non effettuate pagamenti.
- In generale prestate molta attenzione alle foto e ai filmati vostri o di altre persone che caricate pubblicamente su Internet.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 12.12.2023