Securitywatch: i truffatori vanno a phishing con deepfakes

Non ricevo molte domande sul mio lavoro dalla mia famiglia. Sono comprensibilmente molto più interessati ai dirottamenti dei miei ratti e del mio cane. Ma quando mi viene chiesto della sicurezza, le persone invariabilmente vogliono sapere perché accadono le cose brutte. Ci sono molte risposte a questa domanda, ma quella a cui torno sempre è semplice: il denaro.

Ransomware? Contanti facili per gli aggressori. Phishing? Nient'altro che contanti. Spam? Tutti i tipi di modi per monetizzare le persone facendo clic sui collegamenti. Violazione dei dati? Quella roba viene utilizzata per frode e il resto viene venduto (per essere utilizzato per ulteriori frodi). Attacchi di stato nazione? Sicuramente esiste un'ideologia, ma se si considera che le sanzioni statunitensi hanno senza dubbio contribuito alla motivazione della Russia ad attaccare le elezioni del 2016, il denaro è nell'equazione. E questo per non parlare degli hacker dello stato nazionale che illuminano la luna per denaro extra.

Non in quella lista ci sono deepfakes, video che sono stati manomessi, generalmente usando la tecnologia basata sull'intelligenza artificiale. Abbiamo visto i volti delle celebrità scambiati con i corpi delle pornostar, i volti e le voci dei politici manipolati per far sembrare che dicessero cose che in realtà non avevano detto. A volte sono fatti per promuovere cospirazioni selvaggiamente infiammatorie; più insidiosi sono i tempi in cui vengono manipolati per dire cose che gli spettatori suggestivi possono avere difficoltà a distinguere dalla verità.

Negli ultimi mesi si è parlato molto di Deepfakes per paura di poter essere utilizzati in campagne di disinformazione per confondere gli elettori. Ciò non è accaduto su larga scala (ancora), ma i deepfake pornografici hanno già danneggiato molti individui. Quindi perché lo chiamiamo una minaccia emergente? Probabilmente perché non c'era un modo ovvio per monetizzarli direttamente. Ciò è cambiato questa settimana, in quanto è stato riferito che i deepfake sono stati utilizzati per vagliare le aziende per centinaia di migliaia di dollari.

Nuovi strumenti, stesso vecchio imbroglione

Col senno di poi, avrei dovuto vederlo arrivare. L'ingegneria sociale - un modo fantasioso per dire "ingannare le persone" - è uno strumento consacrato dal tempo per violare la sicurezza digitale o semplicemente fare soldi velocemente. L'aggiunta di deepfakes nell'inganno è perfetta.

Il Wall Street Journal ha riferito che alcuni aggressori intelligenti hanno costruito un modello vocale falso che hanno usato per convincere un altro dipendente che stavano parlando con il CEO dell'azienda. Il dipendente ha quindi autorizzato un bonifico di circa $ 243.000. Nel suo rapporto, il Washington Post ha scritto: "I ricercatori della società di sicurezza informatica Symantec hanno dichiarato di aver trovato almeno tre casi in cui voci di dirigenti venivano imitate da truffe". Il raggio stimato è misurato in milioni di dollari.

Per la mia edificazione, mi sono seduto e ho cercato di tracciare la storia dei deepfakes. È davvero un concetto per l'era delle notizie false, ed è iniziato alla fine del 2017 in un articolo di Vice sulla pornografia scambiata sul viso pubblicato su Reddit. Il primo uso di "deepfakes" era in realtà lo username della persona che pubblicava i video pornografici che mostravano il volto, ma non il corpo, di Gal Gadot, Scarlett Johansson e altri.

In pochi mesi, la preoccupazione per i deepfake è passata alla politica. Sono apparsi dei video che hanno portato alla luce personaggi politici, ed è qui che io (e la maggior parte del resto della comunità della sicurezza) sono rimasto bloccato. Sulla scia della disinformazione della Russia durante le elezioni americane del 2016, l'idea di video falsi quasi indistinguibili che inondano il ciclo elettorale del 2020 è stata (ed è tuttora) terribile. Afferra anche i titoli ed è uno di quei progetti per il bene pubblico che piacciono molto alle società di sicurezza.

Sarei remissivo se non indicassi i limiti dei deepfake. Per prima cosa, hai bisogno di clip audio della persona che stai cercando di impersonare. Questo è il motivo per cui celebrità e politici sotto i riflettori nazionali sono obiettivi ovvi per il deepfakery. I ricercatori, tuttavia, hanno già dimostrato che per creare un deepfake audio convincente è necessario solo circa un minuto di audio. Ascoltare una chiamata di un investitore pubblico, un'intervista di notizie o (Dio ti aiuti) un discorso TED sarebbe probabilmente più che sufficiente.

Inoltre, mi chiedo quanto bene il tuo modello di deepfake debba anche funzionare per essere efficace. Un dipendente di basso livello, ad esempio, potrebbe non avere idea di come sembri (o addirittura assomigliare) al CEO, il che mi fa chiedere se una voce plausibile e autorevole sia sufficiente per svolgere il suo lavoro.

Perché il denaro conta

I criminali sono intelligenti. Vogliono fare più soldi che possono, rapidamente, facilmente e con il minor rischio. Quando qualcuno scopre un nuovo modo di fare quelle cose, altri lo seguono. Il ransomware è un ottimo esempio. La crittografia esiste da decenni, ma una volta che i criminali hanno iniziato ad armarla per denaro facile, ha portato a un'esplosione di ransomware.

I deepfakes utilizzati con successo come strumento in ciò che equivale a un attacco di pesca subacquea specializzato sono la prova di un nuovo concetto. Forse non funzionerà allo stesso modo del ransomware: richiede comunque uno sforzo considerevole e le truffe più semplici funzionano. Ma i criminali hanno dimostrato che i deepfake possono funzionare in questo modo nuovo, quindi dovremmo almeno aspettarci altri esperimenti criminali.

• Come proteggere le elezioni statunitensi prima che sia troppo tardi Come proteggere le elezioni statunitensi prima che sia troppo tardi
• Campagne di influenza elettorale: troppo economico per i truffatori per passare campagne di influenza elettorale: troppo economico per i truffatori per passare
• Le agenzie russe Intel sono uno stufato tossico di concorrenza e sabotaggio Le agenzie russe Intel sono uno stufato tossico di concorrenza e sabotaggio

Invece di prendere di mira i CEO, i truffatori potrebbero rivolgersi a persone normali per pagamenti più piccoli. Non è difficile immaginare un truffatore che utilizza video pubblicati su Facebook o Instagram per creare modelli vocali profondi per convincere le persone che i loro familiari hanno bisogno di un sacco di soldi inviati tramite bonifico bancario. O forse la fiorente industria dei robocall otterrà uno strato falso per una maggiore confusione. Potresti sentire la voce di un amico oltre a vedere un numero di telefono familiare. Non vi è inoltre alcun motivo per cui questi processi non possano essere automatizzati in una certa misura, sfornando modelli vocali ed eseguendo script predisposti.

Niente di tutto ciò serve a scartare il potenziale danno causato dai deepfakes durante le elezioni o il denaro legato a tali operazioni. Man mano che i criminali diventano più abili con gli strumenti di deepfake e questi strumenti migliorano, è possibile che emerga un mercato di deepfakes a noleggio. Proprio come i cattivi possono concedere del tempo in affitto su botnet per scopi malvagi, possono apparire corporazioni criminali dedite alla creazione di deepfake su contratto.

Fortunatamente, un incentivo monetario per i cattivi crea uno per i bravi ragazzi. L'ascesa del ransomware ha portato a un migliore antimalware per rilevare la crittografia dannosa e impedire che subentrasse nei sistemi. C'è già del lavoro da fare per rilevare i deepfake e, si spera, quegli sforzi saranno potenziati solo dall'arrivo del phishing dei deepfake. È un po 'di conforto per le persone che sono già state truffate, ma è una buona notizia per il resto di noi.