Per il grande pubblico alle prese con l’improvvisa ondata di popolarità dell’Intelligenza Artificiale, distinguere gli scenari reali da quelli ancora per lo più immaginari non è sempre facile, soprattutto quando questo si trasforma in minacce. Gli addetti ai lavori nella cybersecurity tuttavia, hanno ormai da tempo sviluppato capacità tali da affrontare qualsiasi novità anche dal punto di vista dei potenziali rischi. Ancora una volta quindi, si ripropone il problema di individuare le potenziali falle di una innovazione prima che ci riescano i malintenzionati, e sviluppare le relative contromisure. «C’è un gran parlare intorno ai presunti attacchi sfruttando applicazioni di IA, ma buona parte di questi sono effettivamente ipotesi o voci – conferma Dmitry Volkov, CEO di Group-IB -. Non possiamo escludere che in futuro possano diventare realtà, ma oggi dobbiamo concentrarci su quelli concreti».
I cybercriminali hanno già dimostrato di avere molteplici possibilità di sfruttare l’AI, in particolare i LLM come ChatGPT, per le loro attività malevole. L’intelligenza artificiale può aiutare i criminali informatici meno qualificati a sviluppare malware, a ideare nuove tattiche, tecniche e procedure, ad assistere nelle truffe o a migliorare la produttività operativa. Inoltre, la clonazione digitale – come nel caso dei servizi text-to-voice alimentati dall’intelligenza artificiale – potrebbe far sembrare più convincenti le chiamate robotiche dei truffatori, aprendo potenzialmente più vittime alle truffe.
Ad esempio, da quando ChatGPT è stato rilasciato nel settembre 2022, gli analisti di Group-IB hanno osservato un aumento dell’interesse tra i forum clandestini per il jailbreak di ChatGPT e lo sviluppo di trasformatori generativi pre-trainati (GPT) specializzati. Inoltre, quattro strumenti LLM in stile GPT autoprodotti da malintenzionati hanno creato scalpore nel mondo della criminalità informatica dalla metà del 2023.
Sebbene i prodotti LLM clandestini promettano grandi capacità e possibilità infinite, la ricerca di Group-IB mostra che la maggior parte dei prodotti LLM clandestini è ancora in fase di rapido sviluppo. Sebbene producano risultati non ottimali nelle questioni tecniche legate ai crimini informatici, gli sviluppatori di tali prodotti mostrano frequenti note di aggiornamento al loro pubblico e sono già una parte cruciale delle attività meno tecniche, come la composizione di testi per siti web o e-mail di phishing.
Al riguardo, ha fatto scalpore il caso clamoroso del dipendente di una banca di Hong Kong, ingannato da un falso video di un suo superiore, convincente al punto di eseguire importanti trasferimenti di denaro per conto di un cliente ignaro di tutto.
«Un numero sempre maggiore di truffe arriva da dispositivi mobili – riprende Volkov -. In Group-IB ne abbiamo già raccolto diversi casi molto evoluti, capaci di superare controlli di sicurezza anche a livello finanziario».
Un’arma in più, per raggiungere gli stessi obiettivi
Per certi versi, la modalità di un attacco non è cambiata di molto. La diffusione dell’IA ha in questo caso però anche un risvolto meno nobile, rendere la vita molto più facile ai cybercriminali, abbassando il livello di ingresso per competenze e investimenti. Serve sempre meno essere specializzati per mettere in piedi un progetto criminale, e di conseguenza il livello di rischio aumenta.
«In pratica, oggi non è così impensabile un ipotetico call center virtuale orientato alla truffa. Dove prima serviva un persona fisica per ingannare un utente a completare un’operazione, ora ci si può affidare a un numero di chatbot dipendente solo da capacità e disponibilità di risorse».
Per assurdo, un rischio destinato a manifestarsi nel momento in cui saranno sviluppati i primi progetti destinati invece a fornire aiuto agli utenti. Messa in campo la modalità per fornire assistenza via chatbot in modo affidabile, con un dialogo naturale e multilingue, non passerà molto prima di vederla trasformata in strumento di estorsione.
Anche per questo, secondo Group-IB un’efficace lotta per la sicurezza IT passa per la capacità di guardare sempre oltre, per essere pronti a contrastare una nuova modalità di attacco nel momento in cui si manifesta. La strategia Group-IB nella circostanza parte da un presupposto molto semplice, scandagliare continuamente il Web in ogni sua piega alla ricerca di segnali. «È un approccio molto concreto, basato sui dati. Non serve tanto puntare sull’immaginazione di come potrebbe arrivare la prossima minaccia, bisogna affidarsi ai dati».
Sapere come giocare d’anticipo
Quelli ricavati dal grande impegno dell’azienda nell’individuare e inseguire i movimenti di ogni potenziale attacco, senza aspettare che i mandanti entrino in azione, ma nel momento stesso in cui si manifestano anomalie nel comportamento. Seguire l’evolversi sin dai primi passi aiuta anche curarne la crescita e la diffusione nel momento in cui i malintenzionati decidono di passare all’azione, facendosi trovare già pronti e riducendo al minimo la finestra utile ad agire indisturbati.
Una vera e propria guerra nel mondo virtuale, affrontata con mezzi molto concreti. La strategia alla base dei servizi Group-IB prevede infatti la creazione di filiali locali nelle quali le tecnologie dell’azienda sono applicate da esperti selezionati sul posto. «Questo è fondamentale per noi, perché abbiamo bisogno di pensare in modo più vicino possibile a quello dei cybercriminali. Non basta raccogliere dati; bisogna essere in grado anche di analizzarli e non solo con strumenti automatici».
Dove invece il livello di automazione viene spinto il più in alto possibile è la fase di intervento. Le competenze acquisite combinate alle tecnologie proprietarie aiutano a sviluppare quegli strumenti utili a contrastare anche attacchi più attuali o sofisticati, proprio perché sviluppati in parallelo.
Nella formazione Group-IB scende in campo l’IA
Idee molto chiare per obiettivi precisi. Dove servono però anche competenze all’altezza della situazione. In un periodo delicato sotto questo punto di vista, la strategia Group-IB è ancora una volta molto chiara. «La nostra ricerca di personale è su base locale, quindi non abbiamo bisogno di avviare grandi selezioni tutte insieme. Soprattutto però, una volta individuate le persone adatte, ci occupiamo direttamente della formazione, secondo le nostre esigenze. Cerchiamo di individuare giovani talenti e offrire loro opportunità di crescita in un’azienda brillante in Europa e non solo».
In ogni caso, un aiuto importante può arrivare ancora una volta dall’IA. Automatizzare procedure e soprattutto garantire la scalabilità si strumenti al servizio della sicurezza IT significa avere più flessibilità anche sul fronte della disponibilità di personale. Un discorso da estendere nel tempo al progetto di integrare in una visuale unica i tanti strumenti di sicurezza generalmente presenti in un’architettura aziendale e soprattutto semplificare la relativa interfaccia.
Un progetto tanto ambizioso quanto ancora difficile da raggiungere. Di fatto, oggi ci si appoggia a svariate procedure e sistemi di protezione a seconda dell’applicazione e del dispositivo. Un compito sempre più arduo per un singolo responsabile interno. Crescono di conseguenza ruolo e mansioni dei managed services come Group-IB. «Un provider specializzato è in grado di investire quanto serve ed è in grado di coprire tante esigenze diverse in realtà diverse – conclude il CEO di Group-IB -. Significa maggiori garanzie in particolare per uno scenario come quello italiano ricco di PMI, e il nostro obiettivo è proprio dimostrarci un fornitore di servizi affidabile, in grado di proteggere a tutto campo l’attività di un’azienda facendosi carico di tutti i problemi».
