Non si tratta solo di versi divertenti, ritratti bizzarri ed esilaranti scenette virali. ChatGPT, Gemini, DALL-E, Craiyon, Voice.ai e tutta una serie di altri strumenti di intelligenza artificiale ormai comuni, vanno bene per passare un pomeriggio o per aiutarti con l’ultimo compito di scuola o di lavoro, i criminali informatici però li stanno piegando ai propri scopi, dando una dimensione completamente nuova al phishing, al vishing, al malware e all’ingegneria sociale.
Ecco alcuni recenti rapporti sull’uso dell’intelligenza artificiale nelle truffe, oltre ad alcune indicazioni per smascherarle.
1. Le truffe vocali di IA
Il vishing, o phishing telefonico, non è una novità; tuttavia le imitazioni vocali prodotte dall’intelligenza artificiale stanno rendendo queste telefonate truffaldine più credibili che mai. In Arizona, una finta telefonata di rapimento ha causato diversi minuti di panico a una madre che ha ricevuto una richiesta di riscatto per risolvere il millantato rapimento della figlia. La voce al telefono sembrava identica a quella della figlia, ma era un facsimile generato dall’intelligenza artificiale.
La figlia non era stata affatto rapita, ma era sana e salva. La famiglia non ha perso del denaro perché ha fatto la cosa giusta: ha contattato le forze dell’ordine per rintracciare la figlia tenendo il truffatore al telefono.1
Nel 2022 le truffe degli impostori hanno causato una perdita di 2,6 miliardi di dollari nei soli Stati Uniti. Le truffe emergenti legate all’intelligenza artificiale potrebbero aumentare questa già sbalorditiva cifra. Secondo il rapporto “Beware the Artificial Imposter” (Attenti all’impostore artificiale) di McAfee, circa il 25% delle persone ha subito una truffa vocale da parte dell’intelligenza artificiale o conosce qualcuno che l’ha subita. Inoltre lo studio rivela che il 77% delle vittime ha perso del denaro.
Come udire la differenza
Senza dubbio è spaventoso sapere di una persona cara in difficoltà, ma se ricevi una telefonata di questo genere, bisogna cercare di mantenere il più possibile la calma. Fai del tuo meglio per udire bene la “voce” della persona. La tecnologia vocale di IA è incredibile, ma ha ancora dei problemi. Per esempio: la voce ha degli intoppi innaturali? Le parole si interrompono un po’ troppo presto? Magari il tono di alcune parole non corrisponde all’accento della persona cara? Per cogliere questi piccoli dettagli è necessario essere lucidi.
Quello che la tua famiglia può fare da subito per non cadere in una truffa di vishing di IA è concordare una parola d’ordine comune. La parola, o frase, può anche essere oscura, purché sia significativa per voi. Tenete la parola d’ordine per voi e non pubblicatela mai sui social media. In questo modo, se un truffatore dovesse chiamarvi sostenendo di essere un familiare o di tenerlo in ostaggio, la parola d’ordine permetterebbe di scoprire la falsità dell’emergenza.
2. Deepfake di ricatto e annunci falsi
Il deepfake, ovvero la manipolazione digitale di un’immagine, video o audio autentici, è una capacità dell’IA che inquieta molte persone. Mette infatti in discussione l’assioma, da sempre sostenuto, che “vedere significa credere”. Se non si può credere a ciò che si vede, allora cos’è reale? E cosa non lo è?
L’FBI sta mettendo in guardia i cittadini statunitensi contro un nuovo schema in cui i criminali informatici modificano filmati espliciti per poi estorcere alle vittime, totalmente innocenti, l’invio di denaro o carte regalo in cambio della non pubblicazione dei contenuti compromettenti.2
La tecnologia deepfake è stata anche al centro di un caso di falsa pubblicità. Un truffatore ha creato un falso annuncio in cui Martin Lewis, un autorevole esperto britannico di difesa dei consumatori, promuoveva un’iniziativa di investimento. L’annuncio, pubblicato su Facebook, cercava di legittimare il suo intento nefasto includendo un falso profondo di Lewis.3
Come rispondere alle richieste di riscatto e agli annunci online discutibili
Non rispondere è la migliore risposta a una richiesta di riscatto. Hai a che fare con un criminale: chi ti dice che non divulgherà i documenti falsi anche se cedi al ricatto? Non appena ti si avvicina un truffatore chiama le forze dell’ordine, che potranno aiutarti a risolvere il problema.
Il fatto che un’affidabile piattaforma social ospiti un annuncio non significa che l’inserzionista sia un’azienda legittima. Prima di acquistare qualcosa o di investire denaro in un’azienda trovata tramite una pubblicità, indaga personalmente sull’azienda in questione. Per stabilire se è affidabile basta una visura camerale dal Registro Imprese e pochi minuti per leggere le recensioni online.
Per identificare un video o immagine deepfake, cerca eventuali ombre e luci incoerenti oppure distorsioni dei volti e delle mani delle persone. È lì che si notano i piccoli dettagli non del tutto corretti. Come le voci di IA, la tecnologia deepfake è spesso accurata, ma non è perfetta. In alternativa, prova McAfee Deepfake Detector, che segnala in pochi secondi gli audio generati dall’IA.
3. Malware e email di phishing generati dall’intelligenza artificiale
Gli strumenti di generazione dei contenuti dispongono di alcune salvaguardie per impedire la creazione di testi che potrebbero essere usati illegalmente; tuttavia, alcuni criminali informatici hanno trovato il modo di aggirare queste regole e usano ChatGPT e Gemini per agevolare le proprie attività di malware e phishing. Ad esempio, se un criminale chiedesse di scrivere un key-logger (che registra le battute sulla tastiera) ChatGPT si rifiuterebbe. Ma se la richiesta venisse riformulata per comporre un codice che acquisisca i tasti premuti, potrebbe venire soddisfatta. Un ricercatore ha dimostrato che chi ha poche conoscenze di codifica può utilizzare ChatGPT, il che rende la creazione di malware più semplice e accessibile che mai.4 Allo stesso modo, gli strumenti di IA per la generazione di testo possono creare rapidamente delle convincenti email di phishing. In teoria questo può accelerare le attività di un malintenzionato e ampliarne la portata.
Come evitare il malware e il phishing scritti dall’IA
È possibile evitare il malware e i messaggi di phishing generati dall’intelligenza artificiale nello stesso modo in cui si affrontano quelli scritti dall’uomo: facendo attenzione e diffidando di tutto ciò che sembra sospetto. Per evitare il malware, attieniti ai siti web dei quali sai di poterti fidare. Uno strumento di navigazione sicura come la protezione Web McAfee, inclusa in McAfee+, può ricontrollare che non ti trovi su un sito web sospetto.
Per quanto riguarda il phishing, quando vedi un’email o un SMS che ti chiede una risposta rapida o che sembra fuori dall’ordinario, stai all’erta. I messaggi di phishing tradizionali sono solitamente pieni di errori di battitura, di ortografia e di grammatica. Le esche scritte dall’intelligenza artificiale invece sono spesso scritte bene e raramente contengono errori. Ciò significa che devi essere diligente nel vagliare ogni messaggio che giunge nella casella di posta.
Frenare, mantenere la calma e avere fiducia in sé stessi
Mentre il dibattito sulla regolamentazione dell’IA si infervora, la cosa migliore da fare è utilizzarla in modo responsabile. Sii trasparente quando la usi. E se sospetti di trovarti di fronte a un uso dannoso dell’IA, frena e fai del tuo meglio per valutare la situazione con mente lucida. L’intelligenza artificiale può creare contenuti convincenti, quindi per tenere soldi e dati personali lontani dalle grinfie dei criminali informatici fidati del tuo istinto e segui le buone prassi di cui sopra.
2 NBC News, “L’FBI mette in guardia dalle truffe pornografiche deepfake“.
3 BBC, “Martin Lewis disgustato al vedere un annuncio truffaldino deepfake su Facebook“.
4 Dark Reading, “Ricercatore fa creare a ChatGPT un malware di steganografia a prova di rilevamento“.
Mantieniti al corrente
Seguici per essere sempre al corrente delle notizie di McAfee e delle ultime minacce alla sicurezza per consumer e dispositivi mobili.
