Minacce emergenti incombono su individui e aziende nell’era del Metaverso. Quali sono i rischi cyber e come affrontarli per ridurre i potenziali impatti e prevenire i crimini informatici? L’analisi di Lamberto Ioele
La prossima evoluzione di Internet è in corso proprio ora e si chiama Metaverso.
Il Metaverso è il crescente regno digitale che utilizza la realtà aumentata, la realtà virtuale, la blockchain, i social media e una serie di altre tecnologie per creare un vasto mondo virtuale in cui le persone, attraverso il proprio avatar, si connettono, interagiscono, fanno acquisti e tanto altro, consentendo una convergenza sempre più stretta tra mondo fisico e digitale.
Il Metaverso si sviluppa nel digitale ponendosi sostanzialmente come un universo creato e alimentato dalle reti globali di comunicazione che consente a milioni di persone di ricreare digitalmente interazioni più realistiche e di progettarne di completamente nuove. Nella sua mappa delle tecnologie emergenti per il 2022, Gartner stima che entro il 2026 una persona su quattro passerà almeno un’ora al giorno nel Metaverso per lavoro, shopping, formazione, attività sui social media o semplice intrattenimento. Molti brand da tempo si sono diretti verso questa nuova frontiera, con campagne che hanno avuto un ritorno globale in termini di Brand Awareness e loyalty, spingendo anche gli interlocutori più scettici ad interessarsi al tema.
Dal punto di vista delle organizzazioni, il Metaverso consentirà alle aziende di intraprendere nuovi percorsi di crescita, migliorare le relazioni con i clienti e trasformare i propri modelli di costo. Le opportunità di crescita continueranno inoltre a emergere man mano che il Metaverso – ad oggi nelle sue prime fasi di sviluppo – permetterà interazioni digitali più immersive e contestuali.
Tuttavia, se si guarda alla sicurezza informatica, questa tendenza espone a minacce significative di cui gli utenti e le aziende devono prendere atto al fine di comprendere quali rischi si possono correre e come difendersi.
Il Metaverso è destinato a trasformare il modo in cui le aziende operano: in un mondo virtuale sarà necessario adottare un approccio alla sicurezza diverso rispetto a quello previsto nel mondo fisico, ma cosa comporterà tale paradigma in termini di strategia di cybersecurity?
Cosa cambia-rischi e opportunità
Con l’espansione dei confini di Internet, aumenta parimenti la superficie di attacco sfruttabile dai cybercriminali e il crescente realismo di queste esperienze introduce ulteriori problemi di sicurezza, poiché ciò che gli utenti vedono, sentono e provano diventa sempre più realistico.
Sempre più industrie negli ultimi tempi stanno esplorando e investendo nel Metaverso, purtuttavia, ovunque ci sia da guadagnare, c’è anche da rubare o truffare o compiere altre azioni malevoli, nel mondo virtuale così come in quello reale.
In quest’ottica, è rilevante segnalare che, mentre molti servizi e piattaforme del Metaverso trattano solo valute virtuali che non hanno alcun valore al di fuori dello spazio virtuale, altri coinvolgono criptovalute, fondi o conti bancari che hanno invece un valore nel mondo reale e che espongono le transazioni effettuate in questa nuova tecnologia a rischi di operazioni fraudolente.
Nonostante, ad oggi, non sia ancora disponibile una visione chiara sui crimini verificatisi nel Metaverso, né tantomeno un quadro giuridico volto ad indirizzarne gli aspetti legati al funzionamento, dal punto di vista tecnologico, la creazione di un alter ego digitale di ogni persona che entra con una propria identità in questa nuova dimensione è un punto di attenzione che mostra la stretta correlazione che intercorre tra Metaverso e Cybersecurity.
Tra i principali rischi che i leader della sicurezza e gli innovatori del Metaverso dovrebbero considerare vi sono:
Interoperabilità
– Impatti sulla privacy e rischi per l’identità, intesa sia come l’identità dell’utente che dell’avatar stesso, dal momento che l’identità digitale del Metaverso non riguarda solo l’identità online, ma racchiude anche quella offline e comprende tutti i dati sensibili, metodi di pagamento inclusi, dell’individuo dietro l’avatar;
– Furto di dati biometrici correlati alle procedure di autenticazione tramite visori VR e occhiali AR che raccolgono informazioni sulle abitudini, le preferenze e i movimenti degli utenti; registrandone anche l’aspetto fisico e il modo in cui reagisce;
– Furto di criptovalute associate a una carta o a un portafoglio, o furto di costosi oggetti virtuali, come NFT, tra gli altri elementi associati dall’utente al Metaverso.
Impersonificazione
– Impersonificazione digitale, ovvero la possibilità per i cyber criminali di impersonare terze parti tramite la reperibilità delle informazioni sensibili online e ottenere informazioni personali con l’inganno;
– Rischio di acquisizione di account, o attacco di replay delle credenziali nel caso di furto d’identità, mediante i quali un cyber criminale potrebbe compiere diverse azioni per conto della vittima ignara, tenuta a risponderne nella vita reale;
– Tecnologia deepfake mediante la quale i cyber criminali possono rubare le immagini e le sembianze reali degli individui e di impersonarli per raggiungere i propri scopi. Una modalità di raggiro in continuo aumento come riportato da un recente sondaggio di VMware che segnala una crescita di tali attacchi del 13% rispetto al 2021;
– Furto ed utilizzo improprio dell’avatar per scopi fraudolenti.
Ingegneria sociale
– Campagne massive di phishing incoraggiate dalla vasta mole di dati condivisa e facilitate dall’erronea percezione del Metaverso come un luogo sicuro e privo di rischi;
– Schemi di manipolazione “Pump-and-dump”, anche rispetto al mondo delle criptovalute;
– Attacchi “Man in the Room”, evoluzione di “Man in the Middle”, che prevede la creazione di avatar fake malevoli che si inseriscono in conversazioni e riunioni virtuali con il fine ultimo di esfiltrare informazioni personali;
– Clonazione del portafoglio virtuale manipolando le vittime con tecniche di social engineering a rilevare la propria seed phrase, la chiave segreta utilizzata per recuperare i portafogli persi.
Possibili attacchi e casi concreti
Il crimine informatico, in tutte le sue forme, è in aumento. Il rapporto Global Crime Trend 2022 dell’Interpol indica il riciclaggio di denaro e il ransomware come le due principali minacce alla criminalità informatica. Anche la frode e l’hacking sono estremamente comuni e sono attività criminali particolarmente adatte a prosperare nel Metaverso.
Proprio come gli account dei social media e gli indirizzi e-mail, anche gli avatar del Metaverso possono essere violati, consentendo ai criminali informatici di spacciarsi per altre persone e permettendogli di accedere a fondi o beni digitali, o di sabotare con l’inganno operazioni commerciali. In futuro, i cybercriminali potrebbero essere in grado di utilizzare i dati biometrici rubati o trapelati per ingannare i dispositivi connessi al Metaverso, come i visori per la realtà aumentata, e renderli accessibili da qualcun altro dando vita a furti di dati, frodi, estorsioni o causare malfunzionamenti tali da mettere in reale pericolo fisico chi li indossa.
Un’altra potenziale minaccia del Metaverso è rappresentata dal superamento dei controlli di autenticazione e dal furto o dalla diffusione di dati biometrici che potrebbero essere utilizzati anche per la creazione di modelli deepfake in massa.
Il Metaverso si sta imponendo anche nel mercato dell’arte e nuove minacce incombono su chi vende o colleziona oggetti d’arte digitale. Gli Nft (Non-Fungible Token), sono entrati nel mirino degli attaccanti e potrebbero essere bloccati da attacchi ransomware crittografici, con conseguenti richieste di riscatto ai proprietari, nonché utilizzati in operazioni di riciclaggio di denaro.
È altresì probabile che con l’aumento dell’interesse dei consumatori per il Metaverso, anche gli attacchi informatici si evolveranno in termini di furto di dati e identità, ransomware e campagne di disinformazione potenzialmente più mirate e distruttive.
Conclusioni
È evidente che le possibilità offerte dal Metaverso aprano scenari di cybersecurity totalmente nuovi che richiedono ai maggiori attori coinvolti nel mondo digitale innovazione e, al contempo, un’azione ponderata.
Impedire che il metaverso diventi un parco giochi per i criminali informatici richiederà un’azione ponderata e l’innovazione da parte delle aziende del metaverso, degli sviluppatori di software, delle autorità di regolamentazione, delle forze dell’ordine e di molti altri attori, compresi gli stessi utenti finali.
La realtà immersiva del Metaverso, caratterizzata da un alto livello di complessità, rende necessaria una combinazione di misure di sicurezza tecnologiche, metodi di prevenzione e la formazione di una cultura che tratti gli spazi virtuali con la stessa importanza di quelli reali.
In tale scenario, le aziende del Metaverso, così come gli stessi utenti finali, sono chiamate ad ampliare le proprie conoscenze, acquisendo consapevolezza dello scenario circostante e affidandosi a professionisti nell’ambito della cybersecurity per intraprendere il proprio percorso in questa realtà tridimensionale.
