Scopri come funzionano e perché le truffe che usano i deepfake di personaggi famosi sono sempre più numerose e pericolose.

Dieci anni fa, il tipico messaggio di phishing che tutti ricevevamo almeno una volta al mese era l’email di un presunto milionario che doveva realizzare un’operazione finanziaria nel nostro paese e aveva bisogno di un partner. Il messaggio era scritto male e (per fortuna) il link veniva spesso bloccato dagli antivirus delle potenziali vittime.

Oggi è tutto diverso: navighi sui social e all’improvviso vedi un annuncio di una piattaforma di trading online sponsorizzata da Elisabetta Canalis, da Chiara Ferragni o da Tom Hanks (ovviamente non è un problema solo italiano) che promette grandi guadagni facili. Fai clic, e finisci su un sito di phishing, costruito apposta per rubare dati personali o direttamente denaro con operazioni fraudolente… E questa volta il sito, il video falso e i messaggi sono di buona qualità, hanno pochissimi errori e quei pochi sono impercettibili.

Benvenuti nelle truffe migliorate con l’IA generativa: phishing, deepfake di personaggi famosi, siti web falsi e script dannosi. Ne parliamo in questo post, partendo dall’ultimo episodio di una truffa online che ha visto come protagonista Fabio Fazio. Buona lettura!

Non credete a niente, sono tutti fake. Statene alla larga, da domani parte la denuncia.”

Fabio Fazio

Truffe di trading online e investimenti

La tendenza del momento nel cybercrimine italiano sono le truffe di investimenti e criptovalute che utilizzano l’immagine di un personaggio famoso per convincere le vittime. L’ultimo complice inconsapevole di queste truffe è stato Fabio Fazio, che in questo video ha segnalato la presenza online di un video deepfake realizzato con l’intelligenza artificiale, che sfrutta la sua immagine per promuovere investimenti online fraudolenti.

La maggior parte di queste truffe segue questo modello:

  • Annuncio pubblicitario o video sui social di una persona famosa. Che parla dei grandi guadagni offerti da una piattaforma di trading, un sito di exchange di criptovalute o un particolare investimento online.
  • Il video è realizzato con l’intelligenza artificiale generativa, che consente di creare filmati sintetici a partire da video e foto reali di una persona, per farla muovere e parlare usando la sua voce.
  • La vittima cade nella trappola, fa clic sull’annuncio o sul link sponsorizzato nel video e viene indirizzata su un sito di phishing dove inizia la parte attiva della truffa.
  • Le viene chiesto di registrarsi e inserire dati personali o dati bancari, che gli hacker utilizzeranno in un secondo momento per accedere ai suoi account.
  • Peggio ancora, alcuni siti propongono direttamente delle transazioni, che drenano il conto della vittima e, specie quelle in criptovalute, sono irreversibili.

Il gancio è sempre la possibilità di ottenere grandi guadagni facilmente e in poco tempo. L’inganno funziona perché il messaggio viene trasmesso usando l’immagine di una persona famosa, che comunica affidabilità e trasparenza (come Fabio Fazio). Dulcis in fundo, per rendere il messaggio di phishing ancora più potente, l’offerta è disponibile per poco tempo, il che crea un senso di urgenza che spinge la vittima ad agire rapidamente per non farsi scappare un’occasione d’oro.

I deepfake dei famosi

I video utilizzati in queste truffe sono realizzati con l’intelligenza artificiale generativa, come Sora di OpenAI, che è in grado di simulare i movimenti del volto e del corpo umano sovrapponendo il viso e aggiungendo la voce di una determinata persona.

A prima vista, questi video chiamati deepfake (in questo post ne parliamo in modo approfondito) sembrano autentici, ma se li guardiamo con molta attenzione, noteremo alcuni piccoli particolari, come movimenti scattosi, aree pixelate sullo sfondo, inesattezze o proporzioni sbagliate e così via.

Purtroppo, data la velocità con cui consumiamo i contenuti online. Questi indizi non vengono percepiti e la potenziale vittima si lascia convincere dall’autorevolezza e dall’affidabilità del personaggio famoso.

Il problema, però, è che anche i social media e le reti pubblicitarie fanno fatica a riconoscere i contenuti ingannevoli, ed è proprio a questo che Fazio si riferisce nel suo video di sfogo, in cui dice che denuncerà la piattaforma per non controllare la diffusione di queste truffe.

LEGGI ANCHE: Abbiamo bisogno di una legge sulla moderazione dei contenuti?

Troppe truffe sui social

I principali canali di diffusione di queste truffe di trading online o di investimenti sono i social network come Facebook e le reti di annunci pubblicitari display come quella di Google, che pubblica annunci sui siti dei partner in tutto il mondo (compresi i siti dei media nazionali).

Perché le Big Tech, con tutte le risorse economiche e tecnologiche che hanno, non riescono ad arginare questo problema e impedire la diffusione dei deepfake? La risposta breve è che non è così facile come sembra. La risposta lunga, invece, è che ci sono vari motivi.

I motivi

  • I sistemi con cui vengono realizzati i deepfake sono sempre più sofisticati.
  • Molti social si basano più sulle segnalazioni degli utenti, ma queste generano anche molti falsi positivi (segnalazioni di contenuti che non violano nessuna norma).
  • Sulle reti pubblicitarie è più difficile, un po’ per la mole di annunci che viene pubblicata ogni giorno e un po’ perché sono quasi sempre gli utenti a notare e segnalare le campagne di phishing più potenti.
  • Quando deepfake e truffe di trading online vengono segnalate, ci vuole del tempo prima che la piattaforma rimuova i contenuti e blocchi l’account. Nel frattempo, sempre grazie all’AI, il cybercriminale avrà creato un altro account o cancellato le proprie tracce.
  • I deepfake e le truffe sui social si diffondono a macchia d’olio perché sono gli utenti stessi a condividerli.
  • La verifica dei profili su certi social. Come la spunta blu su X (ex Twitter) è a pagamento e non è un indice reale di affidabilità.
  • Infine, alcuni sostengono che le Big Tech non sono particolarmente interessate a risolvere questo problema. In quanto non le toccherebbe direttamente (su questo siamo d’accordo, basti pensare alla reputazione).

Una cosa è certa. Queste truffe sono sempre di più e si sommano alla grande quantità di spam e phishing che riceviamo ogni giorno via email o SMS, o addirittura per telefono. Secondo i dati condivisi dalla Polizia Postale, nel 2023 sono stati trattati 10.600 casi di truffe online (un 15% in più rispetto al 2022), che hanno causato danni economici per oltre 40 milioni di euro.

Il gancio di queste truffe è spesso la possibilità di guadagni facili e veloci, che diventa ancora più efficace grazie all’autorevolezza del personaggio famoso.

Come difendersi dalle truffe online con deepfake

Innanzitutto, ti ricordiamo il nostro motto: “se qualcosa sembra troppo bello per essere vero, probabilmente non lo è”. A questo, per essere ancora più incisivi, potremmo aggiungere “nel 2024”, ovvero nel nostro presente, in cui di opportunità di guadagni facili alla portata di tutti non ne esistono praticamente più, perché nel momento in cui ne sorge una, questa diventa di dominio pubblico grazie a internet e perde automaticamente valore.

Questo principio è sufficiente per diffidare del 99,99% dei messaggi sospetti che girano online, siano essi per email, SMS, link, allegati, deepfake, annunci e in qualsiasi altro formato.

Consigli pratici

A questo, inoltre, possiamo aggiungere alcuni consigli pratici per difenderci dalle truffe e dalla disinformazione online:

  • Verifica l’attendibilità delle fonti: se leggi o vedi qualcosa che ti interessa. Controlla che le informazioni siano veridiche, ad esempio cercando sui canali ufficiali delle persone o delle aziende coinvolte o parlando personalmente con un agente (vedi la truffa degli investimenti in Amazon).
  • Non condividere dati personali. I tuoi dati personali sono uno degli obiettivi principali dei cybercriminali. Che li rivendono o li usano per ricavare i dati di accesso ai tuoi account online. Valuta bene prima di condividerli con aziende che non conosci.
  • Utilizza un antivirus aggiornato. Se guardi un video deepfake di un personaggio famoso e fai clic per visitare il sito a cui indirizza. Il tuo antivirus potrebbe riconoscerlo come un sito fraudolento, bloccarlo e risparmiarti molti problemi.
  • Informati regolarmente per conoscere i deepfake più diffusi in ogni momento. Le truffe da cui difenderti e i consigli di cybersecurity degli esperti (compresi quelle delle piattaforme social, quando sono coinvolte).
  • Infine, esistono siti web per identificare i deepfake, come Deepware, e i cosiddetti siti di fact checking, che denunciano le fake news, come il blog Il Disinformatico o il famoso sito internazionale Snopes.

Seguendo questi consigli e mantenendo un atteggiamento critico (per non dire di aperta diffidenza) nei confronti della comunicazione online, saprai riconoscere deepfake e altri contenuti fraudolenti, come le truffe di investimenti online con i personaggi famosi.

Lezione appresa

In questo post abbiamo visto brevemente il nuovo caso di truffa di trading online che sfrutta un deepfake di Fabio Fazio e abbiamo parlato di truffe online, intelligenza artificiale generativa e limiti dei social network nel bloccare questi contenuti. Infine, abbiamo condiviso 5 consigli pratici per difenderci dalle truffe online e dalla disinformazione, ricordando ancora una volta che ciò che sembra troppo bello per essere vero, soprattutto online, nella maggior parte dei casi non lo è!

CONTINUA A LEGGERE: Sondaggio cybersecurity, il 50% degli italiani non sa riconoscere una fake news

Buona navigazione e buona difesa dalle truffe di trading e crypto online!