Se foste in una chiamata Zoom e il vostro dirigente vi dicesse, occhi negli occhi, di eseguire una transazione finanziaria, vi fermereste a pensare se la persona sullo schermo è reale? Poiché i deepfakes - immagini o registrazioni alterate e manipolate in modo convincente per far credere che qualcuno stia facendo o dicendo qualcosa che non è mai stato fatto o detto - stanno diventando sempre più comuni, probabilmente dovreste farlo. Scoprite di più su questa moderna tecnologia che può essere usata per divertimento e per la criminalità informatica.
È reale?
Grazie al deep learning (una forma di apprendimento automatico), le persone possono alterare immagini, video e registrazioni audio inserendo il volto, il corpo o la voce di una persona in un ambiente diverso e facendo sembrare che abbia detto o fatto cose che in realtà non sono mai accadute. Il risultato? Un deepfake.
Sapevate che un computer potrebbe essere in grado di creare un deepfake audio dopo aver ascoltato solo 10-20 secondi della voce di una persona?
Questa tecnologia che attira l'attenzione è ora diventata ampiamente accessibile al pubblico. Applicazioni come FaceApp consentono di creare video deepfake di chiunque. È possibile, ad esempio, inserire il proprio volto in un video musicale popolare o diventare l'attore principale di una divertente scena cinematografica. Alcuni deepfake su Internet possono essere divertenti, ma nelle mani sbagliate, le registrazioni video o audio falsificate sono diventate anche strumenti di criminalità informatica utilizzati per attaccare individui o aziende.
Deepfake come bullo, manipolatore politico e cyber-attaccante
Oltre a servire per il divertimento, i deepfake possono anche avere gravi effetti legali, personali o politici. Inoltre, i criminali informatici possono ora facilmente fabbricare registrazioni audio o video, rendendole. Nel campo della sicurezza informatica, i deepfake possono essere utilizzati per estorsioni, frodi e manipolazioni. Ad esempio, qualcuno potrebbe usare un video falso per ricattare un amministratore delegato e costringerlo a pagare per la distruzione del video o a rischiare di mettere a repentaglio la reputazione della sua azienda. Più comunemente, le aziende possono subire il "vishing", un tipo specifico di phishing che può utilizzare un audio falso per manipolare i dipendenti facendo loro credere che stanno eseguendo gli ordini dei loro datori di lavoro.
Uno dei casi più famosi di attacco deepfake si è verificato nel 2019, quando l'amministratore delegato di un'azienda energetica con sede nel Regno Unito ha ricevuto una telefonata dal suo capo, che gli ha detto di trasferire quasi un quarto di milione di sterline a un fornitore in Ungheria. Poiché la voce sembrava simile a quella del suo capo tedesco, l'amministratore delegato ha eseguito gli ordini. Poco dopo è arrivata un'altra telefonata, in cui l'amministratore delegato veniva sollecitato a inviare altro denaro. Questo lo ha insospettito e ha deciso di contattare le autorità. Poco dopo, è stato rivelato che l'amministratore delegato era stato vittima di un vishing, che molto probabilmente ha utilizzato la tecnologia deepfake per duplicare la voce del capo tedesco. In un altro caso di deepfake del 2022, Patrick Hillmann, responsabile delle comunicazioni della borsa di criptovalute Binance, ha iniziato a ricevere chiamate da diverse persone che sostenevano di essere state in contatto con lui. Secondo loro, stavano discutendo dell'opportunità di quotare i loro beni su Binance e avrebbero dovuto ricevere un token di Binance in cambio di parte del loro denaro.
Hillmann è rimasto sorpreso, poiché non conosceva nessuno degli interlocutori e riteneva di non essere mai entrato in contatto con loro. In seguito, Hillmann ha scoperto che i criminali informatici hanno utilizzato alcune delle sue interviste pubblicate in passato per creare una copia deepfake del suo personaggio e simulare le chiamate Zoom, apparentemente di natura commerciale. In questo caso, le persone vittime del deepfake hanno perso il loro denaro, ma il problema avrebbe potuto compromettere seriamente la reputazione dell'azienda.
Non cadete nei deepfake
Osservando alcuni dei deepfake più elaborati, si potrebbe avere l'impressione che non ci sia modo di determinare se ciò che si vede online è falso o reale. In realtà, è utile mantenere un certo scetticismo. Se siete anche solo un po' dubbiosi su ciò che vedete sullo schermo, siete già un passo avanti verso la sicurezza.
Ma come si fa a riconoscere un deepfake? Quando si tratta di registrazioni audio, i deepfake sono più difficili da scoprire, in quanto possono suonare esattamente come una normale voce umana. Tuttavia, alcuni programmi sono in grado di rilevare i deepfake. Come? La voce umana può produrre una gamma limitata di suoni; tuttavia, la "voce di un computer" non è così limitata e quindi suona in modo leggermente diverso.
Forse è più difficile, ma è possibile. Ecco cosa cercare nei deepfake video e audio:
- La registrazione sembra difficile da credere? Il contenuto è scandaloso e cerca chiaramente di provocare una reazione emotiva da parte degli spettatori/ascoltatori? Se è così, questo potrebbe essere il primo segnale per avvicinarsi con scetticismo e verificare le informazioni che si vedono o si sentono.
- Osservate i dettagli. Spesso i creatori di deepfake hanno problemi a duplicare le espressioni più sottili, come l'ammiccamento, il respiro o i delicati movimenti dei capelli e del viso. Occasionalmente, possono verificarsi anche lievi difetti nelle aree che si muovono di più. Nelle registrazioni audio, bisogna cercare pause innaturali tra le parole o, al contrario, un parlato eccessivamente perfetto.
- Non si tratta solo del viso. Quando qualcuno ci parla, tendiamo a guardare il suo viso piuttosto che il suo corpo. Anche i creatori di deepfake si concentrano principalmente sulla replica delle espressioni facciali, quindi se la forma del corpo o i movimenti della persona nel video sembrano leggermente fuori luogo, è possibile che si stia guardando un deepfake.
- L'audio si adatta al video? A volte i creatori di deepfake non riescono a far coincidere la registrazione audio con i movimenti della persona. Ancora una volta, osservate con cautela il volto per vedere se i movimenti della bocca corrispondono alle parole che presumibilmente escono da essa.
- Pensate all'illuminazione. È coerente? O la testa della persona sembra innaturalmente chiara o scura? Le discrepanze nell'illuminazione possono essere un indizio.
Rendere divertente l'educazione alla sicurezza digitale
I team IT devono puntare a informare le loro aziende sui deepfakes e sui loro rischi. Poiché i deepfakes sono un esempio affascinante di tecnologia che può essere utilizzata sia dagli intrattenitori che dai criminali informatici, dovreste cercare di rendere la formazione dei dipendenti interattiva e giocosa. Ad esempio, inviate ai dipendenti alcuni video e lasciate che indovinino quali sono reali e quali no. Se incoraggiate la partecipazione attiva, è più probabile che i dipendenti ricordino ciò che hanno imparato e utilizzino le loro conoscenze per rendere più sicura la vostra azienda.