A volte trovare un nuovo collaboratore bravo e affidabile non pare vero. Altre volte è proprio finto. I cybercriminali stanno utilizzando i deepfake per creare identità false, presentarsi ai colloqui di lavoro da remoto e ottenere un posto di lavoro.
Il deepfake è una tecnica di “assemblaggio” di immagini e suoni: video, foto, voci che rubano un’identità, facendole compiere azioni e pronunciare parole che non ha mai fatto né detto. Girano così online video osé di attrici famose, il cui volto è stato appiccato su un altro corpo. O dichiarazioni improbabili di politici e personaggi noti.
Come funziona la truffa
Il 28 giugno, l’Fbi ha evidenziato una nuova applicazione fraudolenta: ha notato “un aumento delle denunce contro l’uso di deepfake e informazioni personali rubate per richiedere posizioni lavorative da remoto”. Chiaro: non sarebbe possibile con le modalità di selezione tradizionale, in presenza. Sfruttano il sempre più frequente ricorso ai colloqui a distanza e puntano su posizioni (come programmazione e altri incarichi nel settore IT) che non richiedano mai un incontro fisico.
Come sempre, l’inganno è solo uno strumento. Avere un colloquio professionale o – peggio – ottenere l’incarico apre una falla nelle aziende: le imprese espongono infatti i dati propri e dei propri clienti, tra i quali informazioni finanziarie e riservate o database aziendali.
Analizzando le denunce, l’Fbi ha individuato alcune crepe ricorrenti, che possono aiutare a individuare i deepfake: “Nei colloqui, le azioni e il movimento delle labbra della persona intervistata davanti alla telecamera non si coordinano completamente con l’audio. A volte, azioni ‘uditive’ come tosse o starnuti non sono allineate con ciò che si vede”.
Anche gli specialisti in sicurezza informatica di Kaspersky sottolineano come i deepfake utilizzati nei finti colloqui non sono tra i più evoluti e, con un po’ di attenzione, possono essere riconosciuti: “Ci sono movimenti innaturali delle labbra, capelli mal resi, forme del viso non corrispondenti, battito delle palpebre scarso o assente, colori della pelle non corrispondenti, errori nel rendering dei vestiti”.
Per cercare di mascherare questi difetti, “gli attaccanti potrebbero intenzionalmente abbassare la qualità del video”. Oltre a tenere d’occhio dettagli e incongruenze, Kaspersky raccomanda allora di “suddividere i colloqui di lavoro in più fasi, coinvolgendo non solo i responsabili delle risorse umane ma anche le persone che lavoreranno con il nuovo dipendente. In questo modo aumenteranno le possibilità di individuare qualcosa di insolito”.
Il caso dei finti candidati è solo una delle possibili applicazioni fraudolente dei deepfake. Grazie a software sempre più evoluti e a buon mercato, ottenere un risultato accettabile è diventato più semplice e conveniente. I deepfake possono così essere protagonisti di un phishing mirato: truffe che puntano sulle debolezze della vittima. Possono fare leva sui suoi interessi, fingersi un dirigente d’azienda con cui hanno a che fare realmente, rubare l’identità di una persona conosciuta o stringere nuove conoscenze e instaurare un rapporto di fiducia. L’obiettivo finale è sempre lo stesso: il furto di denaro o di informazioni sensibili.
Il caso fino a ora più eclatante è emerso – al termine di un’indagine – lo scorso ottobre, anche se riguarda una truffa del 2020. Il direttore di una banca di Hong Kong ha ricevuto la telefonata di un dirigente di una compagnia sua cliente. La richiesta: trasferire 35 milioni di dollari in vista di un’acquisizione. Nessun sospetto: l’identità e la voce erano le stesse che già in passato avevano fatto richieste simili. Peccato fossero state entrambe rubate.
Al di là dei colloqui di lavoro, sembra questo il principale rischio dei deepfake: hanno la capacità di raggirare i test biometrici utilizzati da banche e altri servizi per verificare l’identità degli utenti. Secondo un report di Sensity dello scorso maggio, erano molto vulnerabili agli attacchi deepfake ben nove dei dieci principali fornitori di servizi “Kyc” (Know Your Customer), cioè i fornitori di quelle procedure che raccolgono dati degli utenti per verificare la loro identità.