Come proteggersi dalle minacce informatiche quando si è portatori di disabilità visive

Nel 2023 Tim Utzig, studente non vedente di Baltimora, ha perso mille dollari a causa di una truffa su X mirata ai laptop. Tim era da tempo un follower di un noto giornalista sportivo. Quando l’account di quel giornalista ha iniziato a pubblicare post su una “vendita di beneficenza” di nuovissimi MacBook Pro, Tim ha colto al volo l’occasione per accaparrarsi un laptop. Dopo alcuni brevi messaggi, ha inviato il denaro.

Sfortunatamente, l’account del giornalista era stato hackerato e i soldi di Tim confluirono direttamente nei conti dei truffatori. I segnali di allarme erano prettamente visuali: la pagina era contrassegnata come “temporaneamente limitata” e sia la bio che l’elenco dei follower erano stati alterati. Tuttavia, lo screen reader di Tim, il software che converte testo e grafica in voce, non ha prodotto alcuna allerta in proposito.

Le utilità per la lettura dello schermo consentono ai non vedenti di navigare nel mondo digitale come chiunque altro. Ciò non di meno, questa comunità di utenti è particolarmente esposta. Se anche per un utente normovedente non è facile individuare un sito Web falso, per una persona con problemi di vista è una battaglia in salita ancora più ripida.

Oltre alle utilità per la lettura dello schermo esistono app e servizi mobili specializzati per assistere la comunità dei non vedenti e degli ipovedenti e Be My Eyes è una delle app più diffuse. Connette gli utenti con volontari vedenti tramite una videochiamata dal vivo per affrontare attività quotidiane come impostare la manopola del forno o trovare un oggetto sulla scrivania. Be My Eyes dispone inoltre di IA integrata in grado di eseguire la scansione e la narrazione di testo o identificare oggetti nell’ambiente dell’utente.

Ma questi strumenti possono andare oltre le faccende quotidiane? Possono segnalare un tentativo di phishing o leggere scritte nascoste quando si apre un conto bancario?

Oggi esploriamo gli ostacoli online che gli utenti ipovedenti devono affrontare, vediamo quando ha senso affidarsi ad assistenti umani o virtuali e come rimanere al sicuro quando si usano questi tipi di servizi.

Minacce informatiche alla comunità dei non vedenti e ipovedenti

Per iniziare, chiariamo la differenza tra questi due gruppi. Gli utenti ipovedenti fanno affidamento su capacità visive rimanenti, pur se significativamente ridotte. Per spostarsi nelle interfacce digitali usano spesso lenti di ingrandimento su schermo, caratteri extra-large e impostazioni di contrasto elevato. Per costoro, i siti e le e-mail di phishing sono particolarmente pericolosi. È facile non notare errori di battitura intenzionali, il cosiddetto typosquatting, in un nome di dominio o in un indirizzo e-mail, come il recente esempio di rnicrosoft{.}com.

Gli utenti non vedenti navigano principalmente in base all’audio e usano lettori di schermo e gesti tattili specifici. È tuttavia interessante notare che, a differenza degli ipovedenti, hanno maggiori probabilità di individuare un sito di phishing grazie a utilità per la lettura dello schermo: quando il software legge l’URL ad alta voce, l’utente sente che qualcosa non quadra. Tuttavia se un servizio, legittimo o dannoso che sia, non è completamente compatibile con le utilità per la lettura dello schermo, il rischio di rimanere vittima di una truffa aumenta. Proprio quello che che è successo a Tim Utzig.

È importante ricordare che le lenti di ingrandimento e i lettori su schermo sono semplici strumenti di accessibilità. Sono progettati per ingrandire o narrare un’interfaccia, non per fungere da suite di protezione. Da soli non possono avvisare l’utente di una minaccia. È qui che entrano in gioco software più avanzati, strumenti in grado di analizzare immagini e file, segnalare testo sospetto e descrivere ciò che accade sullo schermo nel suo contesto.

Quando affidarsi a un assistente

Be My Eyes è uno dei principali attori nello spazio dell’accessibilità, con circa 900.000 utenti e oltre nove milioni di volontari. Disponibile in Windows, Android e iOS, colma il divario mettendo in contatto utenti non vedenti e ipovedenti con volontari vedenti in videochiamata per ottenere aiuto nelle attività quotidiane. Ad esempio, se un utente desidera eseguire un ciclo di lavatrice per capi sintetici ma non riesce a trovare il pulsante, può accedere all’app. Questa lo metterà in contatto con il primo volontario disponibile che parla la stessa lingua, il quale si baserà sulla fotocamera dello smartphone a fare da guida. Il servizio è attualmente disponibile in 32 lingue.

Nel 2023 l’app ha ampliato le proprie capacità con il rilascio di Be My AI, un assistente virtuale basato su GPT-4 di OpenAI. Gli utenti scattano una foto e l’IA analizza l’immagine per fornire una descrizione testuale dettagliata, che viene anche letta ad alta voce. Gli utenti possono anche aprire una finestra della chat per porre domande di completamento. Il che ci ha fatto pensare: questa IA saprebbe individuare un sito di phishing?

A titolo di esperimento, abbiamo caricato in Be My Eyes lo screenshot di una falsa pagina di accesso a un social media. Da un telefono è possibile selezionare una foto nella galleria o nei file, premere Condividi e scegliere Descrivi con Be My Eyes. In Windows è possibile caricare direttamente uno screenshot.

Esempio di pagina di phishing che imita il modulo di accesso di Facebook. Notare il dominio errato nella barra degli indirizzi…

L’IA ci ha fornito all’inizio una descrizione dettagliata della pagina. Siamo quindi passati alla chat: “Posso fidarmi di questa pagina?” L’IA ha immediatamente contrassegnato l’errore del nome di dominio, ha consigliato di chiudere la pagina falsa e ha suggerito di digitare l’URL direttamente nel browser o di usare l’app Facebook ufficiale.

Be My AI spiega il motivo per cui la pagina appare sospetta: il dominio non corrisponde al sito ufficiale. L’app suggerisce di digitare l’URL ufficiale direttamente nel browser o di usare l’app ufficiale di Facebook

Abbiamo riscontrato gli stessi risultati positivi sottoponendole un’e-mail di phishing. L’IA ha segnalato la truffa durante la descrizione iniziale del messaggio. Ha fornito l’avviso: “L’e-mail sembra sospetta. È meglio non aprire allegati e non fare clic sui collegamenti. Accedi manualmente al sito Web o all’app ufficiale oppure chiama il numero indicato nel relativo sito ufficiale”.

Oltre a individuare le minacce informatiche, Be My AI è un valido alleato per la navigazione in negozi online, app bancarie e servizi digitali. Ad esempio, l’IA può aiutare a:

• Leggere descrizioni, nomi e prezzi quando l’app o il sito Web di un negozio non supporta utilità per la lettura dello schermo o caratteri di grandi dimensioni
• Eseguire la scansione di termini e condizioni complicati (spesso nascosti in righe piccole o inaccessibili a un lettore di schermo) quando si sottoscrive un abbonamento o si apre un conto bancario
• Estrarre le informazioni chiave direttamente dalle schede del prodotto o dai manuali di istruzioni

I rischi derivanti dall’uso di Be My AI

L’intoppo più comune con l’IA è dato dalle allucinazioni, ovvero quei casi in cui il modello linguistico distorce il testo, ignora dettagli cruciali o inventa parole dal nulla. In fatto di minacce informatiche, la fiducia mal riposta di un’IA in un sito o in e-mail dannoso può essere pericolosa. Inoltre, l’IA non è immune agli attacchi di ad injection che i truffatori usano per ingannare gli agenti IA in genere.

Anche se l’IA ha superato il nostro test, non vi si dovrebbe fare affidamento senza riserve. Non vi è alcuna garanzia che l’IA farà bene ogni volta. Questo è un punto vitale per la comunità dei non vedenti e ipovedenti, poiché una rete neurale spesso può essere l’unico occhio disponibile.

Alla fine di ogni risposta, Be My AI suggerisce di consultare un volontario in caso di dubbio. Tuttavia, non è consigliabile farlo per capire se una pagina Web è falsa. Non c’è modo di conoscere l’affidabilità o l’esperienza di un volontario. Inoltre, si rischia di esporre accidentalmente dati sensibili come indirizzi e-mail o password. Prima di entrare in contatto con un estraneo, è bene assicurarsi che quest’ultimo non vedrà nulla di riservato sullo schermo. Meglio ancora sarebbe usare la funzionalità dedicata dell’app per creare un gruppo privato di famigliari, amici o contatti fidati. Ciò garantisce che la videochiamata sia instradata a persone note, anziché a un volontario a caso.

Per motivi di sicurezza, è consigliabile installare uno strumento di protezione affidabile su tutti i dispositivi in uso. Questi programmi sono progettati per bloccare i tentativi di phishing e impedire che l’utente arrivi a siti dannosi. Un’altra raccomandazione pratica per gli utenti non vedenti è usare un gestore di password. Queste app compilano automaticamente le credenziali solo nel sito Web legittimo salvato; non si lasciano ingannare da un’abile parodia del dominio.

In che modo Be My AI gestisce e archivia i dati dell’utente

Stando all’Informativa sulla privacy di Be My Eyes, le videochiamate con volontari possono essere registrate e archiviate per fornire il servizio, garantire la sicurezza, far rispettare i termini del servizio e migliorare i prodotti. Quando si usa Be My AI, le immagini e i messaggi di testo vengono inviati a OpenAI per generare una risposta. Vengono elaborati su server situati negli Stati Uniti e OpenAI li usa solo per soddisfare la specifica richiesta dell’utente. L’informativa afferma esplicitamente che le immagini e le query dell’utente non vengono usate per addestrare i modelli di IA.

Le foto e i video sono criptati sia in transito che a riposo e l’azienda adotta misure per rimuovere le informazioni sensibili. È opportuno notare che le registrazioni delle videochiamate possono essere conservate a tempo indeterminato a meno di non richiederne l’eliminazione, nel qual caso vengono generalmente cancellate entro 30 giorni. I dati delle interazioni di Be My AI vengono archiviati per un massimo di 30 giorni, a meno che non vengano eliminati manualmente nell’app. Se si decide di chiudere l’account, i dati personali potrebbero essere conservati per un massimo di 90 giorni. È possibile interrompere la condivisione dei dati in qualsiasi momento o richiedere l’eliminazione dei dati esistenti contattando il team di assistenza di Be My Eyes.

Come usare Be My Eyes in modo sicuro

Nonostante le affermazioni di Be My Eyes in merito alla privacy, è necessario seguire comunque alcune regole di base durante l’uso del servizio:

• Usa Be My AI per un primo passaggio su e-mail o pagine sospette, ma senza considerarla come l’unica fonte di verità. Software di protezione specializzati sono più efficaci nell’identificare e neutralizzare le minacce.
• Se un sito, un’e-mail o un messaggio non ti convincono, non toccare alcun collegamento o allegato. Digita invece manualmente l’indirizzo del sito Web ufficiale nel browser oppure apri l’app ufficiale per verificare le informazioni.
• Ricorda: un volontario vede esattamente ciò che vede la tua fotocamera. Assicurati di non inquadrare elementi che non dovrebbe, come un codice di sicurezza o un passaporto aperto. Evita di condividere il tuo nome, mostrare il tuo volto o rivelare troppo di ciò che ti circonda. Presta particolare attenzione a superfici riflettenti che potrebbero mostrare te o i tuoi dettagli personali. Mostra solo ciò che è assolutamente necessario per l’attività da svolgere.
• Attieniti alla tua cerchia ristretta. Crea un gruppo nell’app e aggiungi amici e familiari. Ciò garantirà che le videochiamate vadano a persone che conosci, non a un volontario a caso.
• Non usare Be My AI per leggere documenti che contengono informazioni riservate. Tieni presente che le immagini e i prompt di testo vengono inviati a OpenAI per l’elaborazione e la generazione di una risposta.
• Ricordati di eliminare le chat non più necessarie. In caso contrario, rimarranno in essere per 30 giorni.
• Se hai bisogno di leggere qualcosa di personale o riservato, prendi in considerazione le app con funzionalità di lettura in tempo reale come Envision, Seeing IA o Lookout. Queste app elaborano i dati in locale nel dispositivo dell’utente anziché inviarli al cloud.