Truffe AI sono ovunque: ecco come scovarle e difendersi

Le truffe tramite intelligenza artificiale sono ovunque: ecco come riconoscerle e difendersi

Le truffe AI sono sempre più difficili da individuare. Come riconoscere i segnali di un attacco di phishing realizzato con l'intelligenza artificiale.
Le truffe tramite intelligenza artificiale sono ovunque: ecco come riconoscerle e difendersi
Le truffe AI sono sempre più difficili da individuare. Come riconoscere i segnali di un attacco di phishing realizzato con l'intelligenza artificiale.

Le campagne di phishing alimentate dall’intelligenza artificiale stanno diventando un vero grattacapo. I truffatori sfruttano l’AI per rendere le loro esche più credibili che mai, con una grammatica e una sintassi impeccabili e una struttura migliore.

Ma non bisogna disperare: con qualche accorgimento, si può imparare a riconoscere questi tranelli e non cadere in trappola.

Come riconoscere le truffe AI?

Le truffe AI sono diventate dannatamente difficili da scovare, ma… ci sono sempre dei piccoli dettagli che dovrebbero far scattare subito il campanello d’allarme. È come in natura: anche il migliore dei mimetismi lascia sempre qualche traccia. Ecco quindi, i segnali a cui prestare attenzione.

Analizzare attentamente il linguaggio dell’email

Un tempo bastava una rapida occhiata per fiutare che c’era puzza di bruciato in un’email. Errori grammaticali clamorosi e refusi esilaranti erano una spia infallibile. Ora che i truffatori si sono evoluti e usano sofisticati modelli di linguaggio AI, la faccenda si complica.

Eppure, non tutto è perduto. Anche se ChatGPT e soci sono quasi perfetti nell’imitare il linguaggio umano, è relativamente facile individuare un testo generato dall’AI. Il flusso delle frasi è innaturale, come se tutto fosse troppo perfetto.

Ecco un esempio. Abbiamo usato Gemini di Google per creare un’email fasulla dal servizio clienti di Fastweb per avvisare di una violazione dei dati. Abbiamo anche chiesto all’AI di includere un link esterno, invitando gli utenti a cambiare urgentemente la password. E voilà, ecco come si presenta l’email di phishing generata dall’AI:

Gentile cliente Fastweb,

La informiamo che di recente Fastweb ha subito una violazione dei dati. Ci teniamo a precisare che le informazioni coinvolte non includono password, dati bancari o altri dati sensibili. Tuttavia, per una maggiore sicurezza, le consigliamo di cambiare urgentemente la password del suo account Fastweb.

Per cambiare la password, può seguire questi semplici passaggi:

Acceda alla sua Area Clienti sul sito web di Fastweb.
Vada alla sezione “Dati personali”.
Clicchi su “Modifica password”.
Scelga una nuova password che sia sicura e facile da ricordare.

Le consigliamo di scegliere una password che sia lunga almeno 8 caratteri e che includa sia lettere maiuscole che minuscole, numeri e simboli. Eviti di utilizzare password facili da indovinare, come il suo nome, la sua data di nascita o il nome dei suoi animali domestici.

Se ha bisogno di aiuto per cambiare la password, può contattare il nostro servizio clienti al numero 192.193.

Ci dispiace per l’inconveniente. La sicurezza dei suoi dati è la nostra massima priorità.

Cordiali saluti,

Il team di Fastweb

A prima vista sembra legittima, ma ci sono alcune segnali che dovrebbero insospettire. Ad esempio, la frase “Gentile cliente” è il tentativo del modello di sembrare più amichevole e farci ignorare che un vero servizio conoscerebbe i nostri dati personali (almeno il nome e cognome!) Inutile dire che è un tentativo fallito.

Anche il tono è troppo formale, con piccole pennellate di finta umanità per convincere che sta scrivendo un vero addetto al customer care. Inoltre il linguaggio sembra innaturale. Morale della favola: leggendo con attenzione le email sospette, i segnali del phishing salteranno all’occhio, per quanto abilmente camuffati.

Fare attenzione ai segnali classici del phishing

Gli strumenti AI avranno pure reso le truffe più sofisticate, ma alcune vecchie tattiche sono dure a morire. Quindi, i consigli di sempre per smascherare il phishing sono ancora validi.

I truffatori adorano spacciarsi per aziende legittime, confidando nel fatto che l’utente non noterà i dettagli che stonano. Un dominio email fasullo, link o allegati non richiesti, URL con errori di ortografia o parole extra: sono tutti segnali che qualcosa non torna.

Ad esempio, invece di un indirizzo email ufficiale come “info@members.netflix.com“, si potrebbe vedere qualcosa come “info@members.netflix-support.com“. Si potrebbe anche ricevere link o allegati non richiesti, che sono generalmente un enorme campanello d’allarme. URL non corrispondenti con errori di ortografia o parole extra quasi impercettibili sono più difficili da individuare, ma sono comunque un chiaro indizio che non si è su un sito legittimo o che non sta rispondendo a un’azienda vera.

Il consiglio più prezioso è farsi due domande: perché mai un’azienda seria dovrebbe mandare un’email del genere e mettere tutta questa fretta di agire? Perché la banca dovrebbe chiedere di scaricare un software o cliccare su uno strano link? E da quando in qua si rivolge con un generico “Gentile cliente“?

Attenzione ai video deepfake

Il deepfake è l’ultima frontiera del phishing. Con l’AI, i truffatori creano video dall’aspetto autentico usando foto e filmati rubati, e poi li usano in chiamate con FaceTime o Zoom per convincere le vittime (spesso anziani) a rivelare dati sensibili.

E non bisogna pensare che ci caschino solo le persone di una certa età e più sprovveduti. Questi deepfake sono così convincenti da ingannare anche i professionisti navigati. È successo a Hong Kong, dove dei truffatori hanno clonato il volto di un CFO e rubato l’equivalente di 25 milioni di dollari.

Come difendersi allora? Verificando sempre la fonte della comunicazione. Se mettono fretta e la richiesta sembra assurda, probabilmente lo è.

Smascherare un deepfake non è facile, ma non è nemmeno impossibile. Anche i video più sofisticati possono avere piccole imperfezioni nei movimenti o nell’illuminazione, o problemi di sincronizzazione labiale. Basta riguardare il video con occhio critico per cogliere qualche dettaglio che non va.

Come individuare le truffe vocali AI

Grazie al deep learning, i truffatori possono clonare le voci in modo incredibilmente realistico. È il cosiddetto vishing, il phishing vocale, e spesso prende di mira gli anziani con finti appelli di parenti in difficoltà.

Ma non bisogna farsi ingannare. Se si riceve una chiamata sospetta che mette fretta di agire, è bene fermarsi un attimo e verificare l’identità di chi sta parlando. È fondamentale anche notare le incongruenze nella storia che raccontano o nella voce stessa. A volte il timbro può suonare un po’ robotico (un po’ come l’autotune) o fuori sincrono, o ci possono essere pause e intonazioni innaturali.

L’AI sta progredendo rapidamente ed è spaventoso pensare a quanto sarà simile all’uomo in futuro. Ma con un po’ di buon senso e spirito critico, possiamo ancora difenderci da queste truffe in salsa AI. Almeno per ora.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
4 feb 2025
Link copiato negli appunti