Truffe e apprendimento automatico

Le nuove tecnologie stanno cambiando il mondo ma non la mente umana. Di conseguenza, i geni del male stanno elaborando nuove tecnologie per individuare vulnerabilità nel cervello umano. Un esempio è la storia di come degli scammer abbiano ricreato la voce di un CEO per indurre il capo di una filiale a trasferire denaro su conti poco trasparenti.

Cosa è successo?

I dettagli dell’attacco sono sconosciuti ma il Wall Street Journal, citando la compagnia di assicurazioni Euler Hermes Group SA, descrive l’incidente come segue:

1. Rispondendo a una telefonata, il CEO di un’azienda del settore energetico con sede nel Regno Unito è convinto di parlare con il suo capo, l’amministratore delegato della società madre tedesca dell’azienda, che gli chiede di inviare 220.000 euro a un fornitore ungherese (fittizio, come si è poi scoperto) entro un’ora;
2. Il direttore generale inglese trasferisce l’importo richiesto;
3. I cybercriminali richiamano per avvisare del fatto che la società madre ha trasferito dei soldi per rimborsare la società britannica:
4. Più tardi effettuano una seconda telefonata, impersonando di nuovo l’amministratore delegato e richiedendo un secondo pagamento;
5. Poiché il bonifico che rimborsava i fondi non era ancora arrivato e la terza chiamata proveniva da un numero di telefono austriaco, non tedesco, l’amministratore delegato si insospettisce e non effettua il secondo pagamento.

Come è potuto succedere?

Gli assicuratori stanno considerando due possibilità: o gli aggressori hanno setacciato un gran numero di registrazioni del CEO e assemblato manualmente i messaggi vocali, o (più probabilmente) hanno elaborato un algoritmo di apprendimento automatico basato sulle registrazioni. Il primo metodo è molto dispendioso in termini di tempo e anche inaffidabile: è estremamente difficile assemblare una frase coesiva da parole separate senza che sembri discordante.  Secondo la vittima britannica, il discorso era assolutamente normale, con un timbro chiaramente riconoscibile e un leggero accento tedesco. Il principale sospetto è quindi l’intelligenza artificiale. Ma il successo dell’attacco è stato dovuto non tanto all’uso di nuove tecnologie quanto per la capacità di distorsione cognitiva, in questo caso parliamo di sottomissione all’autorità.

Autopsia psicologica

Gli psicologi sociali hanno condotto molti esperimenti che dimostrano che anche le persone più intelligenti ed esperte sono inclini ad obbedire all’autorità in maniera incondizionata, anche se ciò va contro le convinzioni personali, il buonsenso o questioni di sicurezza.

Nel suo libro L’effetto Lucifero: cattivi si diventa?, Philip Zimbardo descrive questo tipo di esperimento, in cui gli infermieri ricevono una telefonata da un medico che chiede loro di iniettare a un paziente una dose di farmaco corrispondente al doppio della quantità massima consentita. Su 22 infermieri, 21 hanno riempito la siringa come indicato. Infatti, quasi la metà del personale infermieristico intervistato ha seguito le istruzioni date da un medico, ordini che, a loro parere, potevano danneggiare il paziente. Gli infermieri credevano di avere meno responsabilità rispetto al medico che aveva dato quell’ordine, medico che ha l’autorità legale necessaria per prescrivere il trattamento a un paziente.

Anche lo psicologo Stanley Milgram ha spiegato l’indiscussa obbedienza all’autorità utilizzando la teoria della soggettività, la cui essenza è che, se le persone percepiscono sé stesse come strumenti per soddisfare le volontà altrui, non si sentono responsabili delle proprie azioni.

Che cosa fare?

Non potete sapere con certezza con chi state parlando al telefono, soprattutto se si tratta di un personaggio pubblico e le registrazioni della sua voce sono disponibili al pubblico. Oggi come oggi è raro che certe situazioni si verifichino ma, con l’avanzamento della tecnologia, questi incidenti diventeranno più frequenti.

Seguendo incontestabilmente certe istruzioni, potreste stare agli ordini di criminali informatici. È normale obbedire al capo, naturalmente, ma è anche fondamentale mettere in discussione decisioni manageriali strane o illogiche.

Possiamo solo consigliare di dissuadere i dipendenti dal seguire istruzioni alla cieca. Cercate di non dare ordini senza spiegarne i motivi;in questo modo, è più probabile che un dipendente si interroghi su un ordine insolito se non c’è una giustificazione apparente.

Da un punto di vista tecnico, raccomandiamo di:

• Elaborare una procedura chiara per il trasferimento di fondi in modo che anche i dipendenti di alto livello non possano spostare denaro al di fuori dell’azienda senza supervisione. I trasferimenti di somme ingenti devono essere autorizzati da più manager;
• Formare i dipendenti affinché apprendano i princìpi base della sicurezza informatica, e insegnare loro a eseguire gli ordini in arrivo con un sano pizzico di scetticismo. I nostri programmi di threat awareness vi aiuteranno in questo senso.