Ir para o conteúdo

Blogoosfero verdebiancorosso

Tela cheia Sugerir um artigo

Disinformatico

4 de Setembro de 2012, 21:00 , por profy Giac ;-) - | No one following this article yet.
Blog di "Il Disinformatico"

Podcast RSI - Emily Pellegrini, l’influencer virtuale che virtuale non era; deepfake per una truffa da 25 milioni di dollari

16 de Agosto de 2024, 4:49, por Il Disinformatico
logo del Disinformatico

ALLERTA SPOILER: Questo è il testo di accompagnamento al podcast Il Disinformatico della Radiotelevisione Svizzera che uscirà questo venerdì presso www.rsi.ch/ildisinformatico.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

Benvenuti alla puntata del 16 agosto 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e questa settimana vi porto due storie, e due notizie, che sembrano scollegate e appartenenti a due mondi molto distanti, ma hanno in realtà in comune un aspetto molto importante.

La prima storia riguarda una delle più pubblicizzate influencer virtuali, Emily Pellegrini, annunciata dai giornali di mezzo mondo come un trionfo dell’intelligenza artificiale, così attraente e realistica che viene contattata da celebri calciatori che la vogliono incontrare a cena e da ricchi imprenditori che le offrono vacanze di lusso pur di conoscerla, credendo che sia una persona reale, e accumula centinaia di migliaia di follower su Instagram. Ma oggi tutte le immagini che l’avevano resa celebre sui social sono scomparse.

La seconda storia riguarda invece una truffa da 25 milioni di dollari ai danni di una multinazionale, messa a segno tramite una videoconferenza in cui il direttore finanziario sarebbe stato simulato dai criminali, in voce e in video e in tempo reale, usando anche qui l’intelligenza artificiale così bene da ingannare persino i suoi stessi dipendenti.

Ma non è l’intelligenza artificiale l’aspetto che accomuna queste storie. È qualcosa di ben poco artificiale e purtroppo molto umano.

[SIGLA di apertura]

Siamo a fine settembre del 2023. Un’eternità di tempo fa, per i ritmi dello sviluppo frenetico dell’intelligenza artificiale. Su un sito per adulti, Fanvue, e su Instagram iniziano a comparire le foto sexy di Emily Pellegrini [instagram.com/emilypellegrini], una modella di 23 anni che vive a Los Angeles e fa l’influencer. Ma si tratta di una influencer particolare, perché è generata con l’intelligenza artificiale, anche se nelle foto che pubblica sembra una persona in carne e ossa.

Una delle “foto” di Emily Pellegrini. Notate i grattacieli completamente deformati sullo sfondo e l’incoerenza delle linee della piattaforma sulla quale si trova la persona raffigurata, segni tipici di immagini generate maldestramente con software di intelligenza artificiale.

Sei settimane dopo, l’11 novembre, Emily Pellegrini ha già 81.000 follower su Instagram [New York Post]. Ai primi di gennaio ne ha 175.000 [Corriere del Ticino], a metà gennaio sono già 240.000 [NZZ], e ne parlano i media di tutto il mondo [Daily Mail, ripetutamente; Fortune, Dagospia, Repubblica, Stern, Welt.de, Radio Sampaio], dicendo che il suo aspetto procace e fotorealistico ha tratto in inganno molti uomini “ricchi, potenti e di successo”, dice per esempio il Daily Mail britannico, aggiungendo che su Instagram la contattano “persone veramente famose, come calciatori, miliardari, campioni di arti marziali miste e tennisti” che “credono che sia reale” e “la invitano a Dubai per incontrarla e mangiare nei migliori ristoranti”. Una delle celebrità sedotte da Emily Pellegrini, scrive sempre il Daily Mail, è un imprecisato conoscente di Cristiano Ronaldo; un altro è una star del calcio tedesco di cui non viene fatto il nome.

Andamento della popolarità della stringa di testo “Emily Pellegrini” da settembre 2023 a oggi, secondo Google Trends.

Moltissime testate in tutto il mondo riportano fedelmente questi dettagli e non perdono l’occasione di pubblicare molte foto delle grazie abbondanti dell’influencer virtuale, ma c’è un piccolo problema: tutte queste presunte conquiste di Emily Pellegrini sono riferite da una sola fonte, il suo creatore, che fra l’altro vuole restare anonimo, e sono descritte in modo estremamente vago: nessun nome, ma solo frasi come “uno dei volti famosi, di cui non viene fatto il nome e che l’ha contattata, a quanto pare conosce Cristiano Ronaldo” [“One unnamed famous face who contact [sic] her allegedly knew Cristiano Ronaldo, the creator claimed”]

Che senso ha precisare che questo anonimo fan conosce Cristiano Ronaldo? Non fornisce nessuna informazione reale. Però permette di citare un nome famoso e associarlo a questa influencer per farla brillare di luce riflessa nella mente del lettore, che magari è distratto perché l’occhio gli sta cadendo altrove.

Questo espediente autopromozionale funziona, perché Emily Pellegrini viene citata dai media di mezzo pianeta come l’influencer che “fa innamorare i vip”, come titola Il Mattino, o “ha fatto innamorare calciatori e vip di tutto il mondo”, come scrive Repubblica, per citare giusto qualche esempio italofono. Ma di questo innamoramento collettivo non c’è la minima conferma. Ci sono solo le dichiarazioni straordinariamente vaghe del suo creatore senza nome.

Questo anonimo creatore della influencer virtuale racconta anche di aver “lavorato 14-16 ore al giorno” per riuscire a creare il volto, il corpo e i video di Emily Pellegrini con l’intelligenza artificiale. Ma anche qui qualcosa non quadra, perché a fine gennaio 2024 emerge un dato: alcune delle immagini di Emily Pellegrini, soprattutto quelle più realistiche, sono realistiche non per qualche rara maestria nell’uso dei software di intelligenza artificiale, ma perché sono semplicemente foto e video di donne reali, come per esempio quelle della modella Ella Cervetto (www.instagram.com/ellacervetto/), sfruttate senza il loro consenso [Radio France; Abc.net.au, con esempi; Fanpage.it], sostituendo digitalmente il loro volto con un volto sintetico e tenendo tutto il resto del corpo intatto. In altre parole, un banale deepfake come tanti, fatto oltretutto a scrocco.

Le pose e le movenze così realistiche di Emily Pellegrini non sono generate dal software: sono prese di peso dai video reali di modelle reali. Una chiara violazione del copyright e uno sfruttamento spudorato del lavoro altrui.

---

Oggi il profilo Instagram di Emily Pellegrini [www.instagram.com/emilypellegrini] è praticamente vuoto. Tutte le foto sono scomparse. Restano solo 12 post, nei quali un uomo che si fa chiamare “Professor Ep” e dice di essere il creatore della modella virtuale – che in realtà tanto virtuale non era – propone un corso, naturalmente a pagamento, per insegnare agli altri a fare soldi creando modelle virtuali. Nessun accenno al fatto che l’insegnante ha usato i video e la fatica degli altri e ha adoperato  solo in parte l’intelligenza artificiale per guadagnare, dice lui, oltre un milione di dollari.

Lo stato attuale dell’account Instagram di Emily Pellegrini.

Fra l'altro, il corso del sedicente professore, che costava inizialmente mille dollari, ora è svenduto a circa duecento.

La pubblicità del corso promosso sull’account Instagram di Emily Pellegrini.

Lasciando da parte un momento i ragionevoli dubbi sull’etica e la competenza dimostrate fin qui dal Professor Ep, se per caso state pensando di lanciarvi anche voi nel settore immaginando di fare soldi facilmente in questa versione 2024 della febbre per il mining domestico delle criptovalute, beh, pensateci due volte.

I dati indicano infatti che fare soldi esclusivamente generando immagini di modelle virtuali è cosa assai rara. Ci sono alcune superstar del settore che guadagnano discretamente, ma il grosso degli aspiranti creatori e delle aspiranti creatrici fa la fame. Il mercato è saturo di gente che ci sta provando e fallendo.

Grazie ad alcune persone esperte del settore, ho constatato di persona che su piattaforme che promettono grandi guadagni tramite la vendita di immagini generate con l’intelligenza artificiale, come la piattaforma usata dal creatore di Emily Pellegrini, è sufficiente incassare trecento dollari nell’arco di un mese per trovarsi nel discutibile Olimpo del settore, ossia nella fascia del 10% dei creatori che guadagnano di più. Il restante 90%, in altre parole, guadagna di meno.

Gli incassi e il piazzamento di una influencer virtuale su Fanvue.

Molte influencer virtuali che nei mesi scorsi erano state segnalate dai media come le avanguardie emergenti di un nuovo fenomeno oggi non rendono visibile il numero dei like o dei follower, o addirittura questi dati vengono nascosti dalla piattaforma stessa, per non far vedere che non le sta seguendo praticamente nessuno e che i guadagni promessi sono solo un miraggio per molti.

Quelli che guadagnano davvero, invece, sono i fornitori dei servizi e dell’hardware necessario per generare queste immagini sintetiche, proprio come è avvenuto per le criptovalute. Quando si scatena una corsa all’oro, conviene sempre essere venditori di picconi.

Fonti aggiuntive e ulteriori dettagli:

---

La seconda storia di questo podcast arriva da Hong Kong. Siamo a febbraio del 2024, e scoppia la notizia di una truffa da 25 milioni di dollari ai danni di una multinazionale, effettuata con la tecnica del deepfake, la stessa usata nella storia precedente con altri scopi.

Un operatore finanziario che lavora a Hong Kong si sarebbe fatto sottrarre questa ragguardevolissima cifra perché dei truffatori avrebbero creato una versione sintetica del suo direttore finanziario, che stava a Londra, e l’avrebbero usata per impersonare questo direttore durante una videoconferenza di gruppo, nella quale anche gli altri partecipanti, colleghi dell’operatore, sarebbero stati simulati sempre con l’intelligenza artificiale, perlomeno stando alle dichiarazioni attribuite alla polizia di Hong Kong [Rthk.hk, con video del portavoce della polizia, Baron Chan; The Register].

Dato che tutti i partecipanti alla videochiamata sembravano reali e avevano le sembianze di colleghi, quando l’operatore ha ricevuto l’ordine di effettuare quindici transazioni verso cinque conti bancari locali, per un totale appunto di 25 milioni di dollari, ha eseguito le istruzioni, e i soldi hanno preso il volo.

L’ipotesi che viene fatta dalla polizia è che i truffatori abbiano scaricato dei video dei vari colleghi e li abbiano usati per addestrare un’intelligenza artificiale ad aggiungere ai video una voce sintetica ma credibile. Il malcapitato operatore si sarebbe accorto del raggiro solo quando ha chiamato la sede centrale dell’azienda per un controllo.

La notizia viene accolta con un certo scetticismo da molti addetti alla sicurezza informatica. Già simulare un singolo volto e una singola voce in maniera perfettamente realistica è piuttosto impegnativo, figuriamoci simularne due, tre o più contemporaneamente. La potenza di calcolo necessaria sarebbe formidabile. Non c’è per caso qualche altra spiegazione a quello che è successo?

[The Standard presenta una ricostruzione un po’ diversa degli eventi: solo il direttore finanziario sarebbe stato simulato e gli altri quattro o sei partecipanti sarebbero stati reali. “An employee of a multinational company received a message from the scammer, who claimed to be the "Chief Financial Officer" of the London head office, asking to join an encrypted virtual meeting with four to six staffers. The victim recalled that the "CFO" spent most of the time giving investment instructions, asking him to transfer funds to different accounts, and ending the meeting in a hurry. He found that he was cheated after he made 15 transactions totaling HK$200 million to five local accounts within a week and reported to the police. It was discovered that the speech of the "CFO" was only a virtual video generated by the scammer through deepfake. Police said other employees of the same company were also instructed to attend the meeting.”]

Otto mesi dopo, cioè pochi giorni fa, un esperto di sicurezza, Brandon Kovacs, affascinato da quella truffa milionaria, ha dimostrato alla conferenza di hacking DEF CON che in realtà una videoconferenza nella quale tutti i partecipanti, tranne la vittima, sono in realtà delle simulazioni indistinguibili dagli originali è fattibile, ed è fattibile con apparecchiature piuttosto modeste e sicuramente alla portata economica di una banda di criminali che spera in un bottino di svariati milioni di dollari.

La parte più impegnativa di quest’impresa è procurarsi delle riprese video delle persone da simulare. Queste registrazioni servono per addestrare un’intelligenza artificiale su misura a generare un deepfake in tempo reale della persona specifica. Ma oggigiorno praticamente chiunque lavori in un’azienda ha ore e ore di riprese video che lo riguardano nel contesto ideale per addestrare un’intelligenza artificiale: le registrazioni delle videoconferenze di lavoro alle quali ha partecipato.

Kovacs ha messo alla prova quest’ipotesi: è possibile creare un clone video di qualcuno usando solo informazioni pubblicamente disponibili e software a sorgente aperto, cioè open source?

La risposta è sì: insieme a una collega, Alethe Denis, di cui aveva le registrazioni pubblicamente disponibili delle sue interviste, podcast e relazioni a conferenze pubbliche, ha addestrato un’intelligenza artificiale e si è procurato una fotocamera digitale reflex professionale, delle luci, una parrucca somigliante ai capelli della collega, un telo verde e del software, e ha usato il deepfake generato in tempo reale come segnale di ingresso del microfono e della telecamera per una sessione di Microsoft Teams, nella quale ha parlato con i figli della collega, spacciandosi per lei in voce e in video in diretta. I figli ci sono cascati completamente, e se un figlio non si accorge che sua mamma non è sua mamma, vuol dire che l’inganno è più che adeguato.

Creare un deepfake del genere, insomma, non è più un’impresa: il sito tecnico The Register nota che un software come DeepFaceLab, che permette di addestrare un modello per creare un deepfake di una persona specifica, è disponibile gratuitamente. Anche il software per l’addestramento della voce esiste in forma open source e gratuita: è il caso per esempio di RVC. E la scheda grafica sufficientemente potente da generare le immagini del volto simulato in tempo reale costa circa 1600 dollari.

In pratica, Kovacs ha creato un kit per deepfake pronto per l’uso [mini-demo su LinkedIn]. Un kit del genere moltiplicato per il numero dei partecipanti a una videoconferenza non è a buon mercato per noi comuni mortali, ma è sicuramente una spesa abbordabile per un gruppo di criminali se la speranza è usarlo per intascare illecitamente 25 milioni di dollari. E quindi l’ipotesi della polizia di Hong Kong è plausibile.

Non ci resta che seguire i consigli di questa stessa forza di polizia per prevenire questo nuovo tipo di attacco:

  • primo, avvisare che esiste, perché molti utenti non immaginano nemmeno che sia possibile;
  • secondo, non pensare che il numero dei partecipanti renda particolarmente difficile questo reato;
  • e terzo, abituare e abituarsi a confermare sempre le identità delle persone che vediamo in video facendo loro delle domande di cui solo loro possono sapere la risposta.

E così la demolizione della realtà fatta dall’intelligenza artificiale prosegue inesorabile in entrambe queste storie: non possiamo più fidarci di nessuna immagine, né fissa né in movimento, ma possiamo fare affidamento su una costante umana che non varia nel tempo: la capacità e la passione universale di trovare il modo di usare qualunque tecnologia per imbrogliare il prossimo.


Fonte aggiuntiva: Lights, camera, AI! Real-time deepfakes coming to DEF CONThe Register

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.


ANTEPRIMA Podcast RSI - Emily Pellegrini, l’influencer virtuale che virtuale non era; deepfake per una truffa da 25 milioni di dollari

14 de Agosto de 2024, 23:51, por Il Disinformatico
logo del Disinformatico

ALLERTA SPOILER: Questo è il testo di accompagnamento al podcast Il Disinformatico della Radiotelevisione Svizzera che uscirà questo venerdì presso www.rsi.ch/ildisinformatico.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

---

Benvenuti alla puntata del 16 agosto 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e questa settimana vi porto due storie, e due notizie, che sembrano scollegate e appartenenti a due mondi molto distanti, ma hanno in realtà in comune un aspetto molto importante.

La prima storia riguarda una delle più pubblicizzate influencer virtuali, Emily Pellegrini, annunciata dai giornali di mezzo mondo come un trionfo dell’intelligenza artificiale, così attraente e realistica che viene contattata da celebri calciatori che la vogliono incontrare a cena e da ricchi imprenditori che le offrono vacanze di lusso pur di conoscerla, credendo che sia una persona reale, e accumula centinaia di migliaia di follower su Instagram. Ma oggi tutte le immagini che l’avevano resa celebre sui social sono scomparse.

La seconda storia riguarda invece una truffa da 25 milioni di dollari ai danni di una multinazionale, messa a segno tramite una videoconferenza in cui il direttore finanziario sarebbe stato simulato dai criminali, in voce e in video e in tempo reale, usando anche qui l’intelligenza artificiale così bene da ingannare persino i suoi stessi dipendenti.

Ma non è l’intelligenza artificiale l’aspetto che accomuna queste storie. È qualcosa di ben poco artificiale e purtroppo molto umano.

[SIGLA di apertura]

Siamo a fine settembre del 2023. Un’eternità di tempo fa, per i ritmi dello sviluppo frenetico dell’intelligenza artificiale. Su un sito per adulti, Fanvue, e su Instagram iniziano a comparire le foto sexy di Emily Pellegrini, una modella di 23 anni che vive a Los Angeles e fa l’influencer. Ma si tratta di una influencer particolare, perché è generata con l’intelligenza artificiale, anche se nelle foto che pubblica sembra una persona in carne e ossa.

Una delle “foto” di Emily Pellegrini. Notate i grattacieli completamente deformati sullo sfondo e l’incoerenza delle linee della piattaforma sulla quale si trova la persona raffigurata, segni tipici di immagini generate maldestramente con software di intelligenza artificiale.

Sei settimane dopo, l’11 novembre, Emily Pellegrini ha già 81.000 follower su Instagram [New York Post]. Ai primi di gennaio ne ha 175.000 [Corriere del Ticino], a metà gennaio sono già 240.000 [NZZ], e ne parlano i media di tutto il mondo [Daily Mail, ripetutamente; Fortune, Dagospia, Repubblica, Radio Sampaio], dicendo che il suo aspetto procace e fotorealistico ha tratto in inganno molti uomini “ricchi, potenti e di successo”, dice per esempio il Daily Mail britannico, aggiungendo che su Instagram la contattano “persone veramente famose, come calciatori, miliardari, campioni di arti marziali miste e tennisti” che “credono che sia reale” e “la invitano a Dubai per incontrarla e mangiare nei migliori ristoranti”. Una delle celebrità sedotte da Emily Pellegrini, scrive sempre il Daily Mail, è un imprecisato conoscente di Cristiano Ronaldo; un altro è una star del calcio tedesco di cui non viene fatto il nome.

Moltissime testate in tutto il mondo riportano fedelmente questi dettagli e non perdono l’occasione di pubblicare molte foto delle grazie abbondanti dell’influencer virtuale, ma c’è un piccolo problema: tutte queste presunte conquiste di Emily Pellegrini sono riferite da una sola fonte, il suo creatore, che fra l’altro vuole restare anonimo, e sono descritte in modo estremamente vago: nessun nome, ma solo frasi come “uno dei volti famosi, di cui non viene fatto il nome e che l’ha contattata, a quanto pare conosce Cristiano Ronaldo” [“One unnamed famous face who contact [sic] her allegedly knew Cristiano Ronaldo, the creator claimed”]

Che senso ha precisare che questo anonimo fan conosce Cristiano Ronaldo? Non fornisce nessuna informazione reale. Però permette di citare un nome famoso e associarlo a questa influencer per farla brillare di luce riflessa nella mente del lettore, che magari è distratto perché l’occhio gli sta cadendo altrove.

Questo espediente autopromozionale funziona, perché Emily Pellegrini viene citata dai media di mezzo pianeta come l’influencer che “fa innamorare i vip”, come titola Il Mattino, o “ha fatto innamorare calciatori e vip di tutto il mondo”, come scrive Repubblica, per citare giusto qualche esempio italofono. Ma di questo innamoramento collettivo non c’è la minima conferma. Ci sono solo le dichiarazioni straordinariamente vaghe del suo creatore senza nome.

Questo anonimo creatore della influencer virtuale racconta anche di aver “lavorato 14-16 ore al giorno” per riuscire a creare il volto, il corpo e i video di Emily Pellegrini con l’intelligenza artificiale. Ma anche qui qualcosa non quadra, perché a fine gennaio 2024 emerge un dato: alcune delle immagini di Emily Pellegrini, soprattutto quelle più realistiche, sono realistiche non per qualche rara maestria nell’uso dei software di intelligenza artificiale, ma perché sono semplicemente foto e video di donne reali, come per esempio quelle della modella Ella Cervetto (www.instagram.com/ellacervetto/), sfruttate senza il loro consenso [Radio France; Abc.net.au, con esempi; Fanpage.it], sostituendo digitalmente il loro volto con un volto sintetico e tenendo tutto il resto del corpo intatto. In altre parole, un banale deepfake come tanti, fatto oltretutto a scrocco.

Le pose e le movenze così realistiche di Emily Pellegrini non sono generate dal software: sono prese di peso dai video reali di modelle reali. Una chiara violazione del copyright e uno sfruttamento spudorato del lavoro altrui.

---

Oggi il profilo Instagram di Emily Pellegrini (www.instagram.com/emilypellegrini/) è praticamente vuoto. Tutte le foto sono scomparse. Restano solo 12 post, nei quali un uomo che si fa chiamare Professor Ep e dice di essere il creatore della modella virtuale – che in realtà tanto virtuale non era – propone un corso, naturalmente a pagamento, per insegnare agli altri a fare soldi creando modelle virtuali. Nessun accenno al fatto che l’insegnante ha usato i video e la fatica degli altri e ha adoperato  solo in parte l’intelligenza artificiale per guadagnare, dice lui, oltre un milione di dollari.

Fra l'altro, il corso del sedicente professore, che costava inizialmente mille dollari, ora è svenduto a circa duecento.

Lasciando da parte un momento i ragionevoli dubbi sull’etica e la competenza dimostrate fin qui dal Professor Ep, se per caso state pensando di lanciarvi anche voi nel settore immaginando di fare soldi facilmente in questa versione 2024 della febbre per il mining domestico delle criptovalute, beh, pensateci due volte.

I dati indicano infatti che fare soldi esclusivamente generando immagini di modelle virtuali è cosa assai rara. Ci sono alcune superstar del settore che guadagnano discretamente, ma il grosso degli aspiranti creatori e delle aspiranti creatrici fa la fame. Il mercato è saturo di gente che ci sta provando e fallendo.

Grazie ad alcune persone esperte del settore, ho constatato di persona che su piattaforme che promettono grandi guadagni tramite la vendita di immagini generate con l’intelligenza artificiale, come la piattaforma usata dal creatore di Emily Pellegrini, è sufficiente incassare trecento dollari nell’arco di un mese per trovarsi nel discutibile Olimpo del settore, ossia nella fascia del 10% dei creatori che guadagnano di più. Il restante 90%, in altre parole, guadagna di meno.

Gli incassi e il piazzamento di una influencer virtuale su Fanvue.

Molte influencer virtuali che nei mesi scorsi erano state segnalate dai media come le avanguardie emergenti di un nuovo fenomeno oggi non rendono visibile il numero dei like o dei follower, o addirittura questi dati vengono nascosti dalla piattaforma stessa, per non far vedere che non le sta seguendo praticamente nessuno e che i guadagni promessi sono solo un miraggio per molti.

Quelli che guadagnano davvero, invece, sono i fornitori dei servizi e dell’hardware necessario per generare queste immagini sintetiche, proprio come è avvenuto per le criptovalute. Quando si scatena una corsa all’oro, conviene sempre essere venditori di picconi.

Fonti aggiuntive e ulteriori dettagli:

---

La seconda storia di questo podcast arriva da Hong Kong. Siamo a febbraio del 2024, e scoppia la notizia di una truffa da 25 milioni di dollari ai danni di una multinazionale, effettuata con la tecnica del deepfake, la stessa usata nella storia precedente con altri scopi.

Un operatore finanziario che lavora a Hong Kong si sarebbe fatto sottrarre questa ragguardevolissima cifra perché dei truffatori avrebbero creato una versione sintetica del suo direttore finanziario, che stava a Londra, e l’avrebbero usata per impersonare questo direttore durante una videoconferenza di gruppo, nella quale anche gli altri partecipanti, colleghi dell’operatore, sarebbero stati simulati sempre con l’intelligenza artificiale, perlomeno stando alle dichiarazioni attribuite alla polizia di Hong Kong [Rthk.hk, con video del portavoce della polizia, Baron Chan; The Register].

Dato che tutti i partecipanti alla videochiamata sembravano reali e avevano le sembianze di colleghi, quando l’operatore ha ricevuto l’ordine di effettuare quindici transazioni verso cinque conti bancari locali, per un totale appunto di 25 milioni di dollari, ha eseguito le istruzioni, e i soldi hanno preso il volo.

L’ipotesi che viene fatta dalla polizia è che i truffatori abbiano scaricato dei video dei vari colleghi e li abbiano usati per addestrare un’intelligenza artificiale ad aggiungere ai video una voce sintetica ma credibile. Il malcapitato operatore si sarebbe accorto del raggiro solo quando ha chiamato la sede centrale dell’azienda per un controllo.

La notizia viene accolta con un certo scetticismo da molti addetti alla sicurezza informatica. Già simulare un singolo volto e una singola voce in maniera perfettamente realistica è piuttosto impegnativo, figuriamoci simularne due, tre o più contemporaneamente. La potenza di calcolo necessaria sarebbe formidabile. Non c’è per caso qualche altra spiegazione a quello che è successo?

[The Standard presenta una ricostruzione un po’ diversa degli eventi: solo il direttore finanziario sarebbe stato simulato e gli altri quattro o sei partecipanti sarebbero stati reali. “An employee of a multinational company received a message from the scammer, who claimed to be the "Chief Financial Officer" of the London head office, asking to join an encrypted virtual meeting with four to six staffers. The victim recalled that the "CFO" spent most of the time giving investment instructions, asking him to transfer funds to different accounts, and ending the meeting in a hurry. He found that he was cheated after he made 15 transactions totaling HK$200 million to five local accounts within a week and reported to the police. It was discovered that the speech of the "CFO" was only a virtual video generated by the scammer through deepfake. Police said other employees of the same company were also instructed to attend the meeting.”]

Otto mesi dopo, cioè pochi giorni fa, un esperto di sicurezza, Brandon Kovacs, affascinato da quella truffa milionaria, ha dimostrato alla conferenza di hacking DEF CON che in realtà una videoconferenza nella quale tutti i partecipanti, tranne la vittima, sono in realtà delle simulazioni indistinguibili dagli originali è fattibile, ed è fattibile con apparecchiature piuttosto modeste e sicuramente alla portata economica di una banda di criminali che spera in un bottino di svariati milioni di dollari.

La parte più impegnativa di quest’impresa è procurarsi delle riprese video delle persone da simulare. Queste registrazioni servono per addestrare un’intelligenza artificiale su misura a generare un deepfake in tempo reale della persona specifica. Ma oggigiorno praticamente chiunque lavori in un’azienda ha ore e ore di riprese video che lo riguardano nel contesto ideale per addestrare un’intelligenza artificiale: le registrazioni delle videoconferenze di lavoro alle quali ha partecipato.

Kovacs ha messo alla prova quest’ipotesi: è possibile creare un clone video di qualcuno usando solo informazioni pubblicamente disponibili e software a sorgente aperto, cioè open source?

La risposta è sì: insieme a una collega, Alethe Denis, di cui aveva le registrazioni pubblicamente disponibili delle sue interviste, podcast e relazioni a conferenze pubbliche, ha addestrato un’intelligenza artificiale e si è procurato una fotocamera digitale reflex professionale, delle luci, una parrucca somigliante ai capelli della collega, un telo verde e del software, e ha usato il deepfake generato in tempo reale come segnale di ingresso del microfono e della telecamera per una sessione di Microsoft Teams, nella quale ha parlato con i figli della collega, spacciandosi per lei in voce e in video in diretta. I figli ci sono cascati completamente, e se un figlio non si accorge che sua mamma non è sua mamma, vuol dire che l’inganno è più che adeguato.

Creare un deepfake del genere, insomma, non è più un’impresa: il sito tecnico The Register nota che un software come DeepFaceLab, che permette di addestrare un modello per creare un deepfake di una persona specifica, è disponibile gratuitamente. Anche il software per l’addestramento della voce esiste in forma open source e gratuita: è il caso per esempio di RVC. E la scheda grafica sufficientemente potente da generare le immagini del volto simulato in tempo reale costa circa 1600 dollari.

In pratica, Kovacs ha creato un kit per deepfake pronto per l’uso [mini-demo su LinkedIn]. Un kit del genere moltiplicato per il numero dei partecipanti a una videoconferenza non è a buon mercato per noi comuni mortali, ma è sicuramente una spesa abbordabile per un gruppo di criminali se la speranza è usarlo per intascare illecitamente 25 milioni di dollari. E quindi l’ipotesi della polizia di Hong Kong è plausibile.

Non ci resta che seguire i consigli di questa stessa forza di polizia per prevenire questo nuovo tipo di attacco: 

  • primo, avvisare che esiste, perché molti utenti non immaginano nemmeno che sia possibile;
  • secondo, non pensare che il numero dei partecipanti renda particolarmente difficile questo reato;
  • e terzo, abituare e abituarsi a confermare sempre le identità delle persone che vediamo in video facendo loro delle domande di cui solo loro possono sapere la risposta.

E così la demolizione della realtà fatta dall’intelligenza artificiale prosegue inesorabile in entrambe queste storie: non possiamo più fidarci di nessuna immagine, né fissa né in movimento, ma possiamo fare affidamento su una costante umana che non varia nel tempo: la capacità e la passione universale di trovare il modo di usare qualunque tecnologia per imbrogliare il prossimo.


Fonte aggiuntiva: Lights, camera, AI! Real-time deepfakes coming to DEF CONThe Register

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.


Il Maniero Digitale diventa anche Maniero Fotovoltaico

13 de Agosto de 2024, 5:48, por Il Disinformatico

Da metà luglio il Maniero Digitale ha attivato un impianto fotovoltaico collettivo da 282 kWp. Ora i criticoni dell’auto elettrica non possono più attaccarmi dicendo che la corrente che uso arriva da centrali inquinanti. A parte che le centrali inquinano comunque molto meno di milioni di marmitte di dubbia manutenzione, adesso l’energia elettrica mi arriva direttamente dal sole, sul tetto di casa, a chilometri zero. Da dove arriva di preciso la benzina o il gasolio che mettono dentro la loro auto? E come ci arriva? Appunto. 

I kWp (kilowatt di picco) sono un valore di riferimento che si usa per indicare in modo standardizzato la potenza massima teorica di un impianto fotovoltaico. Ci sono tante piccole cose da imparare, e tante piccole abitudini da cambiare, in cambio del piacere di bollette più leggere e di un impatto ambientale ridotto. Adesso carichiamo le auto di giorno invece che di notte, e di giorno facciamo andare lavatrice e lavastoviglie, che prima accendevamo la sera. Lo scaldabagno è elettrico ad accumulo, e adesso accendiamo anche lui la mattina, quando i pannelli cominciano a produrre, e lo spegniamo nel tardo pomeriggio.

Allego un paio di schermate del sistema di monitoraggio al quale ho accesso via Internet, come tutti i proprietari delle case della residenza in cui si trova il Maniero Digitale. In rosso c’è il consumo dell’intera residenza quando non viene coperto dai pannelli, in giallo c’è la produzione complessiva e in verde c’è il consumo coperto dai pannelli.



Il picco di consumi notturni intorno alle 22 è probabilmente legato all’accensione degli scaldabagno della residenza, che per ora si accendono automaticamente di notte per sfruttare la tariffa elettrica notturna come in passato (noi invece lo commutiamo manualmente).

Come noterete, per buona parte della giornata abbiamo moltissima potenza in eccedenza, ma adesso siamo in estate, quindi con la massima insolazione, e questo impianto è pensato per gestire almeno in parte le future termopompe per il riscaldamento delle singole case.

Sulle tariffe definitive sto ancora aspettando una comunicazione formale. Le pubblicherò non appena le avrò, per fare due conti sulla convenienza puramente economica. Ma avere energia dal sole, tagliando fuori tutta la filiera del petrolio e i suoi gestori a dir poco impresentabili, non ha prezzo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.


Svizzera, falso sito del quotidiano “La Regione” promuove truffa sugli investimenti usando il nome della Presidente della Confederazione

11 de Agosto de 2024, 11:52, por Il Disinformatico

Un lettore, Marco, mi segnala il sito Inform24svi[zz].net (togliete le quadre se volete riottenere il nome originale del sito), che al momento in cui scrivo ospita questa imitazione truffaldina del quotidiano ticinese La Regione (il cui sito reale è Laregione.ch).

Screenshot dell’inizio del falso articolo.

Per i non svizzeri, Viola Amherd è la presidente di turno della Confederazione (il sistema elvetico è complicato) e quindi il suo nome è un richiamo molto forte e autorevole, ma qui viene usato abusivamente, come del resto viene abusato anche il nome della testata giornalistica.

Ovviamente non è vero che “i cittadini Svizzeri potranno ufficialmente andare in pensione a 45 anni”, come dice il titolo del falso articolo.

Lo scopo di questa falsificazione è promuovere una truffa basata su finti investimenti. L’articolo include infatti un modulo di iscrizione a un fantomatico “VortexValor” che promette a chi investe 250 franchi di “ricevere in media 3.000 CHF al mese sul proprio conto bancario. I profitti sono generati dal trasporto di gas e petrolio attraverso il nostro Paese verso altri Paesi. Come potete immaginare, veniamo pagati per questo. Lo ripeto ancora una volta. Non ci sono rischi, tutti gli investimenti possono essere restituiti in qualsiasi momento, il che è garantito dalla Banca Nazionale e dal nostro Ministero.” Ovviamente è tutto falso.

I malcapitati che abboccano a un’offerta troppo bella per essere vera come questa (ci sono sempre; lo so, perché mi contattano piangendo calde lacrime dopo aver “investito” migliaia di franchi) riceveranno una telefonata da un “manager” che li guiderà nel loro “investimento”. Traduzione: li spennerà facendo credere che stiano guadagnando montagne di soldi.

Il meccanismo di queste truffe è tipicamente questo: il “manager” crea un finto conto online di investimento per la vittima e incassa i primi 250 franchi. Il conto, consultabile via Internet dalla vittima, mostra quelli che sembrano essere rendimenti favolosi. È tutto finto: sono solo numeri su una pagina Web, generati dal software, ma sono presentati con una grafica curata e professionale.

Le vittime vengono sedotte da questi apparenti guadagni e, istigati dal “manager”, inviano altri soldi (reali) ai gestori della truffa con la speranza di guadagnare ancora di più. Ma, ripeto, è tutta una finzione.

La cosa che spiazza molte vittime è che se provano a prelevare i loro soldi da questi “conti”, li ricevono davvero, e questo aiuta a far sembrare serio e credibile l’intero meccanismo. Ma attenzione: i truffatori di solito non restituiscono mai più di quanto è stato versato. Ridanno alle vittime quello che hanno versato, ma mai di più. Se la vittima chiede di ricevere anche i presunti “guadagni”, il “manager” risponde con mille pretesti per rinviare o rifiutare la richiesta.

Il guadagno dei truffatori sta di solito nella mazzata finale: se vedono che la vittima è sedotta e investe soldi ma ne ritira anche una parte, gli propongono un affarone speciale, al quale bisogna aderire in fretta e che richiede un investimento ingente: 10.000 o più franchi, che (dice il finto manager) renderanno anche 100.000 franchi o più. La vittima, incantata dalla prospettiva di una cifra del genere, invia i soldi, chiede di prelevare almeno in parte i lauti guadagni... e a quel punto il “manager” scompare insieme ai soldi del malcapitato investitore.

Non inviate denaro a questi criminali; se ne avete inviato, consideratelo perduto per sempre. 

---

Se siete fra le vittime di questi imbroglioni, troncate ogni comunicazione con loro e fate una segnalazione (non una denuncia) alle vostre autorità di polizia. La polizia difficilmente potrà fare qualcosa per acciuffare i criminali o per ridarvi i vostri soldi, ma la segnalazione è importante perché se nessuno segnala questo genere di truffa le autorità non hanno idea di quanto sia diffusa, e senza dati e numeri sulla sua diffusione è difficile stanziare fondi o assegnare risorse al contrasto di questi reati.

Se avete dato ai truffatori numeri di carte di credito o coordinate bancarie, avvisate il vostro gestore o la vostra banca e vi dirà cosa fare. 

Se vi contatta qualcuno dicendo di essere un’autorità che è in grado di recuperare i vostri soldi, non credetegli: è un complice del truffatore, che vi chiederà altri soldi per “sbloccare” i vostri (inesistenti) guadagni. 

---

Se invece vi siete imbattuti in un sito-truffa di questo genere e volete segnalarlo alle autorità affinché venga bloccato, ci sono vari modi per farlo:

Un’altra cosa importante da fare è parlare in casa e agli amici di queste frodi, perché tutti abbiamo un amico o un parente particolarmente vulnerabile che potrebbe essere ingannato e tentato da questi criminali, che sanno essere convincenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.


Podcast RSI - Frodi milionarie con numeri di telefono falsificati, in manette i fornitori: il caso Russian Coms

9 de Agosto de 2024, 4:14, por Il Disinformatico
logo del Disinformatico

ALLERTA SPOILER: Questo è il testo di accompagnamento al podcast Il Disinformatico della Radiotelevisione Svizzera che uscirà questo venerdì presso www.rsi.ch/ildisinformatico.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

---

[CLIP: Squillo di telefono]

Il vostro telefonino squilla all’improvviso. Sul suo schermo compare il numero della vostra banca. Rispondete, e una voce molto precisa e professionale vi informa, con il tono leggermente spassionato di chi ha detto queste stesse parole infinite volte, che è successo quello che temevate e che un po’ tutti temiamo. Dei criminali informatici hanno avuto accesso al vostro conto corrente.

Per fortuna la vostra banca ha bloccato il tentativo di frode e vi sta chiamando appunto per informarvi della situazione e per chiedervi di smettere di usare le vostre coordinate bancarie attuali e sostituirle con quelle nuove, che vi verranno dettate tra un momento. A voi non resta che trasferire il saldo del conto dalle coordinate attuali a quelle nuove, e tutto sarà a posto.

Ma come avete probabilmente intuito, la chiamata è una messinscena, il numero che compare sul vostro schermo è stato falsificato, la voce è quella alterata digitalmente di un criminale che finge di essere un funzionario antifrode, e le coordinate nuove servono per convincervi a trasferire volontariamente i vostri soldi su un conto controllato dal malvivente.

Fin qui niente di nuovo, ma questa non è la storia dell’ennesimo caso di frode bancaria informatica: è la storia di Russian Coms, un vero e proprio servizio commerciale di assistenza tecnica ai criminali, il cosiddetto crime as a service, che vendeva kit chiavi in mano per aspiranti truffatori e ha permesso di derubare centinaia di migliaia di persone in oltre cento paesi per un totale di svariate decine di milioni di dollari.

Dico “vendeva” perché Russian Coms è stato sgominato dalle forze dell’ordine, arrestando varie persone e soprattutto prendendo il controllo dei server sui quali i criminali gestivano i rapporti con la propria clientela, promettendo discrezione e riservatezza. Ma ora tutti i dati di quei rapporti sono nelle mani degli inquirenti, e sul canale Telegram di Russian Coms è comparso un avviso: “tutto è stato compromesso, non importa quale software stiate usando. Anche tutti gli altri fornitori sono stati compromessi”.

L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.

In altre parole, si salvi chi può.

Questo fuggi fuggi generale è un’occasione rara per gettare luce sulla filiera del crimine informatico e sulle sue tecniche, per riconoscerle e difendersi meglio, ma anche per rispondere a un paio di curiosità che magari vi siete posti: ma dove vanno esattamente i criminali online a procurarsi i ferri del mestiere? Vanno nel dark web? Sono tutti esperti del fai da te informatico, dediti al male? E poi, perché è possibile falsificare il numero del chiamante?

Benvenuti alla puntata del 9 agosto 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

---

Questa storia inizia nel 2021, quando nasce un gruppo di criminali online che si fa chiamare Russian Coms anche se non ha nessun collegamento noto con la Federazione Russa. La sua specialità è offrire ad altri criminali servizi di caller ID spoofing, ossia di falsificazione del numero del chiamante. Servizi che fanno comparire sui telefonini delle persone chiamate un numero appartenente a una banca, a una compagnia telefonica o a una forza di polizia, per conquistare la fiducia di queste persone e aiutare così a carpirne i dati personali, le carte di credito e i soldi.

Russian Coms comincia offrendo ai propri clienti dei telefonini Android appositamente personalizzati, dotati di app finte che li fanno sembrare normali telefoni in caso di sequestro da parte della polizia, di VPN per rendere meno tracciabili le attività criminali per le quali vengono usati, e anche di una app di autodistruzione che cancella istantaneamente la memoria dello smartphone in caso di necessità. Successivamente offre anche lo stesso servizio tramite una web app.

Russian Coms propone contratti di sei mesi che costano circa 1300 euro in tutto, sono pagabili con criptovalute e vengono pubblicizzati su Snapchat, Instagram e Telegram, e su un normalissimo sito Web, Russiancoms.cm. Non provate a visitarlo adesso: non ci troverete nulla. Lo so perché ho provato io per voi.

Avete capito bene: niente dark web, ma tutto sfacciatamente alla luce del sole, sul Web normale, sui social network, come se niente fosse.

Le offerte di contratto sul sito Web di Russian Coms. Fonte: National Crime Agency.

Il servizio è completo e professionale: le chiamate sono cifrate, viene offerto un software che altera la voce in tempo reale, i costi delle telefonate internazionali sono inclusi nel canone, e naturalmente c’è un’assistenza clienti disponibile ventiquattr’ore su ventiquattro, sette giorni su sette. Un livello di customer care invidiabile, migliore di quello di tante aziende regolari.

Gli affari di Russian Coms vanno bene. I suoi clienti arrivano a saccheggiare conti correnti in ben 107 paesi, dagli Stati Uniti alla Norvegia, dalla Francia alle Bahamas. Fra il 2021 e il 2024, gli utenti paganti di Russian Coms effettuano milioni di chiamate a milioni di vittime, fingendo di rappresentare aziende di buona reputazione e facendosi dare soldi per merci mai consegnate, spacciandosi per banche per accedere ai conti correnti delle persone chiamate, e organizzando in alcuni casi il ritiro fisico, fatto di persona, di carte di debito e di credito con la scusa che andavano sostituite per motivi di sicurezza. Il sistema funziona. Nel Regno Unito, per esempio, il danno medio ammonta a oltre 9000 sterline (circa 10.000 euro o franchi) per ciascuna delle circa 170.000 vittime.

Ma a marzo 2024 le cose prendono una brutta piega per i membri di Russian Coms.

---

Dopo mesi di indagini, gli agenti della National Crime Agency britannica arrestano due uomini di 26 e 28 anni a Londra. Gli inquirenti ritengono che si tratti degli sviluppatori e degli amministratori del servizio.

Nei giorni successivi, il sito di Russian Coms viene disattivato, e il 12 aprile viene arrestato, sempre a Londra, un altro uomo che viene considerato uno degli addetti alla consegna di persona degli smartphone modificati. Pochi giorni fa è stato arrestato, sempre nel Regno Unito, uno dei clienti di Russian Coms, e inoltre l’Europol ha in corso altre operazioni analoghe in vari altri paesi.

Gli agenti britannici hanno reso pubblici i dettagli di questa vicenda il primo agosto scorso, pubblicando anche un video dell’irruzione e dell’arresto e una schermata tratta dal sito di Russian Coms che ne illustra il tariffario.

[rumore dell’irruzione]

Today, the NCA can reveal that they have shut down a platform used by hundreds of criminals to defraud victims across the world.

FULL STORY ➡️ https://t.co/XMtmrnhi3Q pic.twitter.com/toStq5jpRC

— National Crime Agency (NCA) (@NCA_UK) August 1, 2024

Sul canale Telegram di Russian Coms i messaggi dei criminali sono stati sostituiti da un avviso che informa la clientela, per così dire, che il servizio “è ora sotto il controllo delle forze dell’ordine internazionali” e annuncia che “La polizia verrà a trovarvi presto”, con tanto di emoji sorridente ma non troppo.

L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.

La National Crime Agency sottolinea che anche se le tecnologie sofisticate e le tecniche professionali usate da gruppi come Russian Coms “promettono l’anonimato, a insaputa dei loro utenti criminali registrano e conservano i loro dati, e quindi è possibile identificare chi sono e come operano”.

Il fatto che i server dei fornitori del servizio siano stati acquisiti dalle forze dell’ordine implica un bottino ingentissimo di dati, e soprattutto di identità di vittime e truffatori, che fotografa l’intera organizzazione e la sua clientela con un dettaglio che si vede di rado. La polizia londinese ha dichiarato di aver svolto controlli incrociati su oltre 100.000 dati, compresi indirizzi IP, numeri di telefono e soprattutto nomi, per identificare i sospettati e rintracciare anche le loro vittime.

L’obiettivo di questo intervento e del suo annuncio al pubblico è minare in generale la fiducia dei malviventi in questi fornitori di servizi e quindi spezzare la filiera del crimine organizzato, ma è anche un’occasione per ricordare al pubblico alcune regole di cautela da adottare per non finire tra le vittime di questi professionisti dei reati digitali.

Se ricevete una chiamata inattesa di qualcuno che dice di rappresentare la vostra banca, un servizio finanziario, un corriere o qualunque ente ufficiale e vi mette sotto pressione chiedendovi di prendere una decisione immediata riguardante del denaro oppure vi chiede dati personali, riagganciate e chiamate subito il numero che trovate sul sito dell’ente o del servizio in questione o sul retro della vostra carta di credito o di debito. Nessuna azienda seria e nessun ente vi metterà mai fretta chiedendovi di prendere subito decisioni importanti per telefono.

---

Vicende come quella di Russian Coms rivelano che i criminali online non sono tutti esperti del settore, non sono tutti geni malvagi dell’informatica: sono molto spesso dei semplici consumatori opportunisti, a volte inetti, di tecnologie sviluppate da altri e comprate chiavi in mano, senza sapere nulla del loro funzionamento, e possono commettere questo tipo di reati solo perché trovano facilmente chi fornisce loro i grimaldelli informatici necessari.

C’è anche un altro aspetto messo in luce da questo successo delle forze di polizia contro il crimine online, ed è il fatto a prima vista assurdo che il sistema telefonico mondiale consenta di falsificare il numero del chiamante.

Se non ci fosse questa possibilità, i malviventi perderebbero un appiglio psicologico molto importante nel costruire la propria credibilità e nel conquistare la fiducia delle loro vittime, che non si aspettano che esista una funzione del genere e si fidano del numero che vedono sul proprio schermo. Ma allora perché gli operatori telefonici non cambiano le cose, visto che questa possibilità di falsificazione consente frodi da decine di milioni di dollari come quella di Russian Coms?

La risposta, poco intuitiva, è che in realtà ci sono dei casi legittimi nei quali chi chiama ha bisogno di far comparire un numero differente da quello effettivo, come per esempio un call center che effettua chiamate per conto di varie aziende, oppure una ditta che ha varie sedi ma vuole presentarsi ai clienti sempre con lo stesso numero per non creare confusione, e quindi le compagnie telefoniche devono lasciare aperta questa possibilità.

Tuttavia possono mettere delle regole, per cui per esempio il numero da visualizzare (il cosiddetto Presentation Number) non può appartenere a un paese differente da quello del numero effettivo (il cosiddetto Network Number). E infatti alcuni operatori telefonici lo fanno [lo spiega qui Ofcom per il Regno Unito]. Ma per tutta risposta, i criminali eludono questo filtro procurandosi numeri di telefono nazionali.

Per ogni difesa, insomma, i malviventi inventano un attacco che la scavalca dal punto di vista strettamente tecnico. Ma se si riesce a far salire il costo e la complessità di questo attacco, diventa meno conveniente effettuarlo e le persone capaci di compierlo e di procurarsi le risorse necessarie diventano meno numerose. E se la difesa adottata costringe per esempio gli aggressori a usare numeri di telefono del paese che vogliono colpire, quei criminali non possono più agire impunemente dall’estero ma devono risiedere localmente, e questo non solo complica la logistica di questi reati ma rende enormemente più semplici gli interventi di giustizia e di polizia, che non vengono più ostacolati dalla necessità di rogatorie e coordinamenti internazionali interforze.

Le soluzioni tecniche, dunque, ci sono [STIR/SHAKEN, CLI authentication, eccetera]; il problema è mettere d’accordo tutti gli operatori del mondo su quale soluzione adottare, coordinarli su questa adozione senza trovarsi con interi paesi bloccati per errore, e convincerli ad affrontare la spesa del cambiamento. Buona fortuna.

In attesa di quel momento, a noi utenti non resta altro che imparare a essere diffidenti su tutto, anche su un concetto in teoria elementare come il numero di telefono di chi ci chiama e ci compare sullo schermo.


Fonti:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.


Tags deste artigo: disinformatico attivissimo