AI e cybercrime, gli strumenti per difendersi dai deep fake e rapimenti virtuali

L’intelligenza artificiale di ultima generazione, che include l’AI generativa, è una grande opportunità per portare avanti la digitalizzazione degli enti pubblici e spingere l’utilizzo dei servizi di eGov, potenziando l’esperienza d’uso di imprese e cittadini. Ma, come ogni tecnologia, l’AI rappresenta anche un potenziale rischio di sicurezza, capace di generare nuove minacce con una velocità senza precedenti. La risposta al cybercrime di imprese e pubblica amministrazione dovrebbe essere altrettanto evoluta: incorporare l’AI negli strumenti di cyberdifesa e continuare a modernizzare i processi.

“I prodotti come ChatGPT, nonché la disponibilità in cloud di grandi risorse di calcolo, hanno reso accessibili l’AI non solo per le organizzazioni pubbliche e private, ma anche per i cybercriminali”, afferma Alessio Agnello, Technical Director di Trend Micro. “Quello che si può e si dovrebbe fare è puntare su una forte automazione degli strumenti di analisi delle minacce e di risposta agli incidenti e sulla messa in sicurezza dei processi. Ciò consente di mitigare enormemente i rischi e di arginare in modo significativo gli impatti di un eventuale attacco”.

Rivoluzione cloud e AI: ne beneficiano anche gli hacker

Le tecnologie di intelligenza artificiale e machine learning (ML) hanno bisogno di grandi capacità di elaborazione dei dati e, da questo punto di vista, l’avvento del cloud, oltre a favorire imprese e PA nella loro trasformazione digitale, ha messo nuovi potenti strumenti in mano al cybercrime. In particolare, l’automazione potenziata dall’AI generativa, con la scrittura automatica di codice e la creazione di domini fasulli “specchio” di quelli legittimi, ha reso gli attacchi più efficaci e veloci.

“I cybercriminali hanno sviluppato strumenti automatizzati venduti as-a-service, aperti e facili da utilizzare”, sottolinea Agnello. “Così l’AI e l’AI generativa, mentre supportano l’innovazione di imprese e PA, fanno anche crescere il numero di criminali informatici, perché aiutano a sviluppare tutte le componenti di un incidente cyber, dal DDoS al phishing al ransomware fino alla nuova tipologia dei deep fake e dei tentativi di estorsione basati su rapimenti virtuali”.

A volte questi attacchi sono concatenati: a un’infiltrazione dei sistemi tramite phishing (il classico link malevolo inviato via email o all’interno di strumenti di comunicazione e collaborazione UCC) segue la diffusione del malware, magari a causa di configurazioni software non adeguate, per arrivare alla sottrazione di dati (poi utilizzabili per le estorsioni) e al crash dei sistemi (col DDoS o distributed denial of service).

“Intelligenza artificiale e machine learning permettono di creare questi malware polimorfici, che cambiano continuamente e sono difficili da identificare dai classici strumenti di cybersicurezza”, dichiara Agnello. “Oggi quasi tutti gli attacchi sono automatizzati e la tecnologia che alimenta l’automazione è molto più evoluta di quella del passato”.

La nuova frontiera del cybercrime: deep fake e rapimenti virtuali

Nell’ambito delle truffe ed estorsioni perpetrate attraverso le tecnologie AI, il “rapimento virtuale” è una delle minacce emergenti, che Trend Micro ha approfondito nel suo ultimo studio “Virtual Kidnapping: How AI Voice Cloning Tools and Chat GPT are Being Used to Aid Cybercrime and Extortion Scams”. Questa tipologia di attacco si basa sull’utilizzo da parte dei cybercriminali dei deep fake, ovvero i “falsi” audio, foto e video costruiti in modo da apparire del tutto verosimili, perché basati su dati reali; file pubblicati online e manipolati per convertirli in schemi redditizi di estorsione. Per generare i deep fake all’intelligenza artificiale bastano anche quantità ridotte di informazioni biometriche catturate nel web, sul social o altri siti, inclusi i portali governativi. È così che si possono simulare dei rapimenti per i quali si chiede il riscatto, facendo ascoltare file audio con la voce della presunta vittima. Gran parte del lavoro in questo schema di attacco può essere ulteriormente automatizzato con strumenti come ChatGPT. Negli Stati Uniti, l’FBI ha già messo in guardia il pubblico, mentre la Federal Trade Commission ha stimato che nel 2022 le perdite derivanti da queste attività illecite abbiano raggiunto i  2,6 miliardi di dollari.

“Gli enti della PA hanno tipicamente molti più portali per la comunicazione e il servizio verso il pubblico rispetto a un’azienda privata e questi possono essere ricopiati dagli hacker per creare, ad esempio, un falso portale”, afferma Agnello. “I cybercriminali possono poi estrapolarne link e mandarli via email con un attacco di phishing. Il tutto in pochissimi minuti, grazie alle tecnologie di automazione avanzata”.

La PA deve difendersi con automazione, AI e processi. Un esempio di attacco

Come difendersi? Occorre agire sull’integrazione di più strumenti di difesa e analisi automatizzati e sulla messa in sicurezza dei processi. Agnello cita l’esempio di un cyber incidente in cui è incorsa un’azienda italiana e che ha sfruttato una tipica piattaforma UCC. Durante una riunione virtuale, un utente ha ricevuto un file che appariva del tutto legittimo ed eseguendolo sul proprio end point ha provocato la conseguente infezione dei sistemi.

“Grazie ai servizi di Managed detection and response (MDR) ed Extended detection and response (xDR) di Trend Micro, il nostro cliente ha immediatamente ricevuto un allarme relativo al computer infettato. L’attacco ha richiesto pochissimi minuti, perché è stato condotto automaticamente, ma le difese hanno arginato le conseguenze. Soprattutto, dopo l’incidente cyber, il cliente ha modificato le policy sull’apertura dei file nelle riunioni: questo vuol dire agire sui processi”, evidenzia Agnello.

Anche la PA è chiamata a rafforzare le sue barriere agendo in modo proattivo sia processi sia sulle tecnologie. Partendo da questo presupposto, CONSIP ha saputo mettere in atto una vera e propria strategia di cybersicurezza volta a colmare i gap tecnologici e a velocizzare i processi di acquisto della PA. Grazie agli accordi quadro, infatti, le PA possono contare sull’adozione di diversi lotti tecnologici utili a comporre una vera e propria soluzione XDR.  All’interno della Convenzione, le organizzazioni possono accedere a diverse categorie di prodotti come: protezione endpoint, protezione server e Anti-APT.

Ogni PA può decidere di acquistare i prodotti singolarmente, ma va detto che queste tre categorie di soluzioni, messe insieme, creano una vera e propria architettura di cyber security interconnessa nativamente, nella quale le soluzioni lavorano all’unisono. Se provenienti dallo stesso fornitore i prodotti delle tre categorie possono essere gestiti da un’unica interfaccia che semplifica, in maniera importante, il lavoro dell’utente finale.

Trend Micro è l’unico presente con prodotti posizionati entro i singoli pilastri e lotti di offerta previsti da Consip. “La nostra piattaforma XDR offre quindi una soluzione che permette di garantire visibilità massima e una corretta mitigazione automatica del rischio” afferma Agnello. “Un’altra indicazione di Agnello per i CISO pubblici è di rispondere con le stesse armi alla rafforzata automazione degli attacchi hacker. “Le soluzioni Trend Micro sfruttano l’intelligenza artificiale per massimizzare la capacità di identificare attacchi avanzati sulla piattaforma XDR, grazie all’utilizzo di una console di gestione unificata a servizio di SOC (Security Operations Center), MDR e SOAR (Security Orchestration, Automation and Response) che agiscono in modo coordinato e automatizzato”, afferma il top manager di Trend Micro. “Non solo, grazie alle soluzioni di Trend Micro è possibile prevenire un eventuale attacco informatico e di conseguenza ridurre e quindi intercettare in maniera proattiva eventuali attacchi a sistemi della propria organizzazione.”.

Di fronte a un aumento continuo del perimetro attaccabile e a un’evoluzione rapidissima delle minacce, insomma, difendersi implica effettuare un’analisi costante dei sistemi, usare strumenti di automazione potenziata dall’AI e implementare severe policy aziendali. Una singola tecnologia non basta: è l’integrazione degli strumenti unita alla modernizzazione dei processi a fare la differenza – ovvero, quel nuovo modo di fare, permeato di cultura della cybersicurezza, che resta il più forte baluardo contro qualunque attacco.