Un dipendente di LastPass è stato recentemente bersaglio di un attacco di phishing vocale tramite deepfake. Un aggressore ha cercato di impersonare Karim Toubba, CEO dell'azienda, attraverso un audio deepfake su WhatsApp. Fortunatamente, l'impiegato non è caduto nella trappola, poiché il canale di comunicazione utilizzato era inusuale.
In sostanza, il collaboratore non si è fidato quando ha visto la chiamata e ha pensato che ci fosse qualcosa che non andava. Un gesto che riassume in modo esemplare il giusto approccio alla sicurezza: bisogna diffidare di tutto ciò che non è ordinario, e comportarsi se ogni messaggio e ogni comunicazione fossero una possibile minaccia. Così facendo alcune operazioni risulteranno rallentate, ma è meglio quello che trovarsi tutti i sistemi bloccati da un ransomware, o i dati sensibili rubati.
A proposito di rallentamenti, un altro elemento che ha suscitato sospetti è il fatto che il falso CEO millantava un bisogno urgente. Un gesto che avrebbe potuto spingere l’impiegato a fare quanto richiesto senza farsi troppe domande.
Ma forse non è stata una grande idea fare una chiamata del genere a una società che trova nella sicurezza un valore fondante.
Le tecnologie di deepfake sono sempre più utilizzate per frodi e attacchi informatici, e questo di LastPass è solo l’episodio più recente. Spesso sono state clonate persone famose, e il caso più evidente forse riguarda il presidente USA Joe Biden, la cui voce ha chiamato diversi elettori per invitarli a non votare - probabilmente un tentativo di favorire un altro candidato democratico alle primarie.
Creare una falsa voce purtroppo è estremamente semplice e poco costoso - e più o meno lo stesso vale anche per immagini e video. Purtroppo non ci sono ricette facili per riconoscere un deepfake, e più passa il tempo più sarà difficile individuare i giusti segnali.
Ciò che possiamo fare è applicare senso critico, cominciando dal domandarci se ciò che stiamo vedendo e sentendo sia completamente sensato. L’episodio di LastPass dimostra che proprio il farsi venire un dubbio può fare la differenza.