Sono i Deepfake Le Nuove Chiamate Di Spam? Ecco Come Proteggersi

Se vedessi un deepfake del CEO della tua azienda, saresti in grado di capire che non è reale? Questa è una sfida preoccupante che le organizzazioni di tutto il mondo stanno affrontando con frequenza. In effetti, proprio di recente, un gigante della pubblicità è stato il bersaglio di un deepfake del suo CEO. Un’immagine pubblicamente disponibile dell’esecutivo è stata utilizzata per impostare una riunione su Microsoft Teams in cui è stato utilizzato un clone vocale dell’esecutivo – tratto da un video di YouTube. Sebbene questo attacco specifico non sia stato efficace, dipinge un quadro più ampio delle tattiche emergenti che i cybercriminali stanno utilizzando con le informazioni pubblicamente disponibili – e questo è solo la punta dell’iceberg.

La tecnologia è diventata così sofisticata che solo circa la metà dei leader IT di oggi ha una grande fiducia nella loro capacità di rilevare un deepfake del loro CEO. A peggiorare le cose, i cybercriminali non stanno solo impersonando i CEO, ma anche l’intero team di leadership, con i CFO che diventano bersagli popolari, anche. I deepfake stanno diventando sempre più facili da creare. In effetti, una rapida ricerca su Google di “come creare un deepfake” produce vari articoli e tutorial su YouTube su come crearne uno. I costi stanno diventando trascurabili, il che significa che i deepfake sono essenzialmente le nuove chiamate di spam.

Le chiamate di spam sono troppo comuni oggi. In effetti, la Federal Communications Commission (FCC) afferma che i consumatori statunitensi ricevono circa 4 miliardi di chiamate automatiche al mese, e i progressi tecnologici le rendono estremamente economiche e molto lucrative, anche con un basso tasso di successo. I deepfake stanno seguendo la stessa strada. I cybercriminali utilizzeranno la tecnologia dei deepfake per ingannare gli impiegati ignari ancora di più di quanto non lo facciano già, e i deepfake diventeranno alla fine un’evenienza quotidiana per il consumatore medio. Esploriamo le strategie che i leader possono implementare per proteggere al meglio la loro organizzazione, i dipendenti e i clienti da queste minacce.

Stabilire Linee Guida Solide

Innanzitutto, i leader devono stabilire linee guida solide all’interno della loro organizzazione. Queste linee guida devono provenire dall’alto, a partire dal CEO, e devono essere comunicate frequentemente. Ad esempio, il CEO deve spiegare fermamente all’intera azienda che non farà mai una richiesta strana o casuale a un dipendente, come acquistare diverse carte regalo da 100 dollari – una tattica di phishing frequente. Questi attacchi sono spesso efficaci perché provengono da un luogo di leadership e non vengono messi in discussione. Tuttavia, poiché i deepfake dei CEO diventano più comuni, stiamo diventando più consapevoli del fatto che non sono reali. Di conseguenza, anticipo che lavoreranno il loro way verso il basso dell’organizzazione, per includere i VP, i direttori, i manager di prima linea e anche i colleghi.

Solo pensa: avere un collega o il tuo immediato superiore che ti chiede una richiesta è abbastanza comune. Perché dovresti avere un motivo per metterla in discussione? Le linee guida possono anche essere relative all’uso di questi strumenti di deepfake all’interno della tua organizzazione, compreso il divieto di utilizzarli su tecnologie di proprietà dell’azienda. Stabilire queste linee guida e paratie è solo il primo passo.

Confermare Le Richieste Attraverso Canali Multipli

In secondo luogo, quando le richieste devono essere effettuate, ci dovrebbe essere una strategia in atto per confermarle attraverso più modalità di comunicazione. Un esempio potrebbe essere se una richiesta proviene dal CEO, tale richiesta sarà condivisa via e-mail e includerà anche un follow-up tramite una piattaforma di messaggistica istantanea utilizzata sul posto di lavoro. Se non c’è un follow-up, il dipendente dovrebbe ignorare la richiesta o confermarla proattivamente via Slack, quindi notificare i team di sicurezza interni secondo la loro politica di sicurezza. Allo stesso modo, forse una richiesta viene effettuata tramite una riunione di Teams, simile alla tattica utilizzata per il deepfake dell’azienda di pubblicità. Questa richiesta deve quindi avere una conferma via e-mail e/o una conferma via Slack. Meglio ancora, confermata tramite una rapida telefonata se camminare fino alla loro scrivania fisica non è un’opzione. Questi processi dovrebbero essere comunicati spesso e all’intera organizzazione per tenerli sempre presenti. Quindi, quando un tentativo è noto, stabilire un processo per condividere l’esempio in tutta l’organizzazione per creare un riconoscimento dei modelli dei tipi di minacce di cui tutti dovrebbero essere consapevoli.

Tenere Frequenti Addestramenti

In terzo luogo, le organizzazioni dovrebbero implementare frequenti addestramenti a livello aziendale per tenere i deepfake e altri tipi di attacchi di frode di identità alla ribalta della mente dei dipendenti. Questi sono utili per diversi motivi. Un dipendente potrebbe non sapere nemmeno cosa sia un deepfake o sapere che voci e video potrebbero essere falsificati. Inoltre, i dipendenti potrebbero adottare la mentalità “fuori vista, fuori mente” – se i deepfake non sono al top della loro mente, potrebbero facilmente cadere vittima di un attacco. La ricerca mostra che i dipendenti che hanno ricevuto una formazione sulla sicurezza informatica hanno dimostrato una capacità notevolmente migliorata di riconoscere le potenziali minacce informatiche.

I deepfake non stanno andando da nessuna parte e stanno diventando sempre più frequenti e difficili da rilevare. Tuttavia, stabilendo linee guida, verificando le richieste attraverso più percorsi e implementando un addestramento costante in tutta l’organizzazione, possiamo essere meglio preparati e proteggere contro queste minacce. In un mondo digitale sempre più crescente, la nostra diligenza per fidarsi di meno e verificare di più sarà essenziale per mantenere la sicurezza e l’integrità della nostra identità digitale.