Le truffe conversazionali, una tecnica di social engineering utilizzata soprattutto per il furto di criptovalute, stanno registrando un’alta crescita di volume, mietendo vittime spesso ignare del pericolo che si cela dietro un messaggio all’apparenza innocuo. Nel 2022 sono state registrate come la minaccia mobile in più rapida crescita. Nel primo trimestre del 2023 la crescita non mostra segni di rallentamento.
Proofpoint, che aveva già trattato l’emergere di minacce di truffe conversazionali via e-mail in passato, ha analizzato la loro. Secondo i dati della ricerca, questa tecnica ha registrato un aumento delle segnalazioni di 12 volte ed è stata visibile su numerose piattaforme diverse, tra cui SMS, app di messaggistica e social media, superando la consegna di pacchi, l’impersonificazione e altri tipi di frode in alcuni settori verticali.
Questi attacchi, a differenza del phishing convenzionale o dell’invio di malware, si sviluppano attraverso una serie di interazioni all’apparenza benevole fino a conquistare la fiducia della vittima.
Come funzionano?
Sia nella posta elettronica che nelle comunicazioni mobile, l’interazione tra attaccante e vittima inizia con un messaggio in apparenza innocuo. Se l’utente abbocca all’amo, l’attaccante può passare giorni o settimane a scambiarsi messaggi apparentemente innocenti prima di tentare di rubare informazioni, denaro o credenziali.
Le truffe conversazionali sono una forma di social engineering attraverso cui abili manipolatori sfruttano l’ubiquità delle comunicazioni mobili per gettare la rete e raggiungere il maggior numero possibile di vittime.
Le truffe conversazionali sono come le frodi con pagamento anticipato dei primi tempi di Internet in cui gli indirizzi e-mail venivano inviati via spam con l’offerta di un elevato guadagno in cambio dell’aiuto di un estraneo per sbloccare un investimento o un’eredità, ma a differenza di queste frodi passate, è cambiato il meccanismo di consegna e il fatto che la somma promessa è ora rappresentata da Bitcoin o Ethereum.
Che costo può avere parlare?
Il fatto che i malintenzionati abbiano adottato esche conversazionali nella posta elettronica e telefonia mobile, sia negli attacchi a sfondo finanziario che in quelli sponsorizzati da uno Stato, mostra come questa tecnica sia efficace. La ricettività nei confronti dei messaggi a mobile la rende un vettore di minaccia ideale, in quanto tendiamo a leggere i nuovi messaggi entro pochi minuti dalla loro ricezione.
Nell’ultimo anno, una varietà di attacchi nota come “pig butchering” è balzata agli onori della cronaca per le ingenti quantità di criptovaluta perse dalle vittime. Il nome è nato in Cina, ma l’FBI ha recentemente registrato un forte aumento del numero di vittime statunitensi. Nel 2022, gli americani hanno perso più di 3 miliardi di dollari a causa di truffe conversazionali legate alle criptovalute, di cui questa è uno dei principali esempi. Naturalmente le truffe amorose, le frodi lavorative e altre forme di attacco conversazionale di vecchia data sono ancora presenti nel panorama delle minacce.
Oltre alle perdite finanziarie, questi attacchi comportano anche un impatto significativo sulle persone. Nel caso del pig butchering e delle truffe sentimentali si registra un investimento emotivo da parte della vittima. La fiducia viene guadagnata e poi abusata, il che può provocare sentimenti di vergogna e imbarazzo, oltre alla conseguenza reale della perdita di denaro.
Truffe conversazionali basate sulla IA
Il rilascio di strumenti come ChatGPT, Bing Chat e Google Bard preannuncia l’arrivo di un nuovo tipo di chatbot, in grado di comprendere il contesto, mostrare ragionamenti e persino tentare la persuasione. I bot IA addestrati a comprendere codici fiscali e strumenti di investimento complessi potrebbero essere utilizzati per frodare anche le vittime più attente.
Insieme a modelli di generazione di immagini in grado di creare foto uniche di persone reali, gli attori malevoli delle truffe conversazionali potrebbero presto utilizzare l’IA come “strumento criminale”, creando tutte le risorse di cui hanno bisogno per far cadere in trappola le vittime e frodarle. Con i progressi della tecnologia deepfake, che utilizza l’IA per sintetizzare contenuti audio e video, la tecnica pig butchering potrebbe passare dalla messaggistica alle chiamate, aumentandone ulteriormente la persuasività.
Si tratta di un tema e di un’area molto ampi che potrebbero avere un rapido sviluppo nel panorama delle minacce, sia da parte degli attaccanti che dei difensori, rischiando di fare dell’intelligenza artificiale un’ “arma digitale” degna di nota.
“L’abuso di conversazioni attraverso SMS e social media è particolarmente preoccupante perché gli attori delle minacce spendono tempo (spesso settimane) e sforzi per costruire un rapporto di fiducia con le loro vittime mirate, avviando quella che inizia come una conversazione via messaggio innocua e benigna, progettata per ingannarle, aggirando così le difese tecniche e umane. Esistono molte varianti di questi attacchi e gli utenti di telefonia mobile dovrebbero essere molto scettici nei confronti di qualsiasi messaggio proveniente da mittenti sconosciuti, soprattutto considerando come gli strumenti di intelligenza artificiale stiano rendendo possibile per i cybercriminali rendere i loro attacchi più realistici che mai”, ha affermato Stuart Jones, Director, Cloudmark Division di Proofpoint.
https://www.bitmat.it/blog/news/truffe-conversazionali-anche-lai-contribuisce-alla-diffusione/