"Falsi fidanzati", furto d'identità, social sorting e deep fake
Un dibattito che ha attirato la mia attenzione è quello, in corso in questi giorni, sui “fidanzati fantasma” e, più in generale, sull’uso di falsi profili per perpetrare truffe sentimentali o a sfondo sessuale.
Tralasciando le questioni di puro gossip che hanno rinfrescato la discussione anche in Italia (il caso “Pamela Prati”), spesso spettacolarizzate e inventate a tavolino a fini televisivi, il problema della vulnerabilità dei comportamenti umani nella società tecnologica in generale, e sulle piattaforme di social network in particolare, è da anni al centro del fuoco di attenzione della cybersecurity.
Ma procediamo con ordine.
Le truffe, si sa, sono vecchie come l’uomo. L’avvento del digitale ha facilitato, però, alcuni comportamenti e ha reso, in alcuni contesti, le vittime più vulnerabili.
Il primo fenomeno che è apparso chiaro è stato la facilità, online, di creazione di un profilo falso, di un “corpo elettronico” non vero ma assolutamente credibile.
Da un lato, infatti, le piattaforme non verificano l’ingresso nel servizio se non, al massimo, domandando un numero di cellulare. La procedura di creazione di una identità falsa grossolana richiede, quindi, pochi minuti. In pochi giorni, per di più, si può creare una identità falsa che sia anche minimamente credibile: si pensi alla ricerca di fotografie reali ma non note che servano a costruire una intera vita passata del nostro falso utente, all'iscrizione del nostro profilo falso in gruppi di discussione tematici (per dargli una connotazione culturale) e alla creazione di una piccola, vera rete sociale.
Dall’altro, gli strumenti di validazione dell’identità che noi possediamo nel mondo reale – il vedere immediatamente se una persona è di sesso maschile o femminile, il poter calcolare, anche sommariamente, l’età, il comprendere le sue intenzioni dalle espressioni del viso, il rivolgersi ad altre persone che conoscano quel soggetto creando così una “catena di trust” (una vera e propria "linea della fiducia", come quando una persona "è presentata" da un amico di cui ci fidiamo) o, in extremis, il domandare una carta di identità in caso di dubbio – cadono tutti, e non sono applicabili, online.
Online possiamo “validare” una persona – e per validare intendo avere conferma del fatto che alcune caratteristiche che dice di avere siano reali – soltanto spostandoci “sul lato fisico”, ossia attivando, ad esempio, una videochiamata, una chiamata telefonica, o domandando a parenti e amici (non complici) notizie credibili, o proponendo un incontro.
La facilità di creazione di profili o di account/indirizzi di posta elettronica falsi ha poi aperto la strada, per così dire, a successive azioni che, nella fase di preparazione, possano usufruire di un secondo elemento: il sorting (ossia la catalogazione, la profilazione, la collocazione in categorie) di particolari vittime, andando a cercare delle precise vulnerabilità nelle persone prese di mira.
Oggi i motori di ricerca e le informazioni disponibili possono consentire di profilare le persone nei loro lati più deboli: gruppi online che fanno assistenza psicologica e offrono conforto a malati con determinate malattie, o che riuniscono persone che hanno subito un lutto, o con disagi alimentari, o che soffrono di particolari fobie (si pensi a gruppi di ascolto di persone che hanno difficoltà ad avere relazioni e che hanno paura di costituire un rapporto).
Per il truffatore, il cercare una vittima che già è vulnerabile in partenza per motivi patologici o caratteriali (e che, quindi, molto probabilmente non dedicherà la giusta attenzione al profilo della certezza di una identità ma enfatizzerà altri aspetti del futuro rapporto che desidera avere) è un vantaggio enorme: aumenta la facilità della truffa e le possibilità che vada a buon fine.
Questa attività di sorting aiuta a comprendere su quale “tasto” dovrà premere l’attaccante per coinvolgere la vittima. Aiuterà a rendere evidenti i punti deboli.
Il sesso, o l'autostima, sono un problema? L’estorsione o la truffa punterà direttamente a quello. Il sogno di una vincita inaspettata? Magari si fanno proposte mirate a soggetti in crisi economica. Una relazione romantica? Allora la parte centrale della truffa sarà fatta da dialoghi-fiume, tanto (finto) ascolto e invio di doni. Il voler far del bene? Si proporranno truffe filantropiche. Sei anziano e solo? Si proporranno storie d’amore belle ma credibili, con piccole somme da inviare per far venire l’amata lontana e in crisi economica in Italia. E così via. Ecco perché gran parte di queste truffe mirano subito a evidenziare il lato emozionale tipico della vittima presa di mira. Accelerando o rallentando l’azione criminosa a seconda del feedback ricevuto. "Ascoltando" la vittima, in definitiva.
Le modalità di difesa da questi tipi di truffe sono tanto semplici da spiegare “in teoria” quanto complesse da applicare, per la vittima, in un contesto che è viziato da tutte le vulnerabilità di cui si parlava poco sopra e che porta la persona in una bolla dove non solo raramente ascolta consigli esterni, ma arriva a convincersi fermamente di una relazione, o situazione, immaginaria, fatta di costanti impulsi (messaggi, chat, note vocali) con migliaia di informazioni che sono veicolate proprio per consolidare, in ogni momento, un rapporto che non esiste.
Basterebbe una domanda semplice – “ci incontriamo?” – o, a volte, una banale telefonata o videochiamata, per far crollare l’intero castello, ma questo non avviene, o per paura, o per ingenuità. Elaborare un rapido decalogo di “protezione” (nel settore della cybersecurity si definiscono policy) sarebbe tanto semplice, quanto di difficile applicazione in un contesto dove la vittima non solo è turbata, ma non vuole interferenze nella gestione della sua “storia”, spesso terrorizzata che la verità possa far cadere del tutto, improvvisamente, una situazione che, comunque, la fa (apparentemente) star bene e la rende felice (o impegnata/distratta da altri problemi).
Un altro punto interessante è che ci stiamo avvicinando sempre di più all’epoca dei deep fake, ossia a manipolazioni audio, video, vocali e grafiche che sono talmente sofisticate da essere indistinguibili dalla realtà. Un deep fake, per comprenderci meglio, è un video che rappresenta una persona in una determinata situazione (ad esmepio: un discorso), ma il video è creato da zero ed è fatto talmente bene che le fattezze di quella persona, e le sue azioni nel video, sono indistinguibili dall’originale.
Anche questo è un nuovo aspetto molto delicato: si pensi alla possibilità di ricreare una intera conversazione, o un video messaggio che possa corroborare, appunto, una identità o, addirittura, un intero album fotografico che ricostruisca la “storia” di una persona mai esistita.
Spesso ci si domanda chi ci sia dietro a queste truffe.
La risposta non può essere una sola. Ci sono veri e proprio criminali, si pensi al business delle estorsioni a fini sessuali, o sextortion, ma ci possono anche essere soggetti che traggono soddisfazione dall’ingannare l’altro, dall’umiliarlo, o che vogliono stabilire e mantenere contatti con persone che, se conosciute realmente, non lo farebbero.
È un mondo molto articolato e complesso, insomma, sia se inquadrato nell’ottica dell’agente, sia in quella della vittima. È, soprattutto, la prova che molti problemi di sicurezza online sono legati al comportamento delle persone, e che il comportamento sbagliato o incauto degli utenti è oggi tra i fattori di vulnerabilità più importanti nel mondo della cybersecurity.