Il pericolo si nasconde nel Darkverse, il “lato oscuro” del metaverso Violazioni di privacy, truffe basate sugli Nft, attacchi cyber-fisici attraverso l’IoT industriale e i videogiochi: Trend Micro spiega i rischi potenziali del metaverso. Pubblicato il 28 settembre 2022 da Valentina Bernocco

Il concetto di metaverso è ancora in via di definizione, il mercato è ancora tutto, o quasi da esplorare. Ma intanto già si parla di Darkverse, il “lato oscuro” del metaverso, che rappresenta l’equivalente di ciò che il Dark Web è per il Web. Non è da escludere che nel metaverso – inteso come ambiente cloud distribuito e multi-vendor, che permette di creare esperienze immersive e interattive – verranno creati degli spazi chiusi, accessibili solo agli addetti ai lavori dell’illegalità, in cui scambiarsi comunicazioni senza il rischio di essere intercettati e in cui poter vendere e comprare droghe, armi, codice malware, dati e file rubati.



Proprio perché i suoi confini e la sua identità sono ancora fluidi, in continua evoluzione, il metaverso risulta particolarmente esposto al rischio di una deriva cybercriminale. Proteggere qualcosa che ha confini incerti è ancor più difficile che proteggere il Web, e Trend Micro prevede che molti cybecriminali possano migrare dai forum del Dark Web agli “angoli nascosti del metaverso”. Inoltre l'ingegneria sociale, la propaganda e le fake news potrebbero trovare nel metaverso dei nuovi canali di diffusione. Trend Micro arriva anche ad affermare che “non esisterà più una privacy come la conosciamo”, poiché gli operatori di spazi simili al metaverso avranno una visibilità senza precedenti sulle azioni degli utenti.

I potenziali rischi per IoT industriale, gaming ed Nft

Gli esperti di Trend Micro immaginano, in particolare, tre categorie di potenziali minacce. La prima deve preoccupare l’Internet of Things industriale (IIoT), un ambito dove già oggi si utilizzano visori di realtà aumentata o virtuale per operazioni di controllo, manutenzione e intervento tecnico da remoto. Un attore malevolo potrebbe, con un attacco man-in-the-middle di tipo “cyber-fisico”, insediarsi tra i sistemi di IIoT e l’operatore remoto. Non sono esclusi nemmeno gli attacchi informatici tradizionali, basati sullo sfruttamento di vulnerabilità: in questo caso, data la natura interconnessa del metaverso, il rischio è amplificato dalla possibilità di movimento laterale. Inoltre i criminali potrebbero sfruttare i digital twin, cioè le repliche digitali di particolari ambienti, macchine o edifici (per esempio, un impianto industriale), per esplorare il sistema target in realtà virtuale o aumentata e andare poi a colpo sicuro nel successivo assalto fisico.



Una seconda categoria è quella delle minacce che incombono su chi vende o colleziona oggetti d’arte digitale. Gli Nft, i token non fungibili, potrebbero essere bloccati da attacchi ransomware crittografici, con conseguenti richieste di riscatto ai proprietari. E secondo le stime di Trend Micro, man mano che diventeranno un importante asset del metaverso per la regolamentazione della proprietà, i Non-Fungible Token saranno sempre più presi di mira da ransomware, phishing o altri tipi di attacco. Inoltre gli Nft sovrastimati potranno servire ai criminali per operazioni di riciclaggio di denaro. Bisogna poi considerare che nel metaverso, così come nel Web, c’è il pericolo di fronti finanziarie sugli oggetti d’arte venduti e acquistati. Altro rischio all’orizzonte è quello delle finte gallerie d’arte in cui vengono proposte opere digitali contraffatte.



La terza categoria di minacce descritta da Trend Micro riguarda il mondo dei videogiochi, i suoi appassionati così come chi li vende. I rischi includono il furto di dati (per esempio, sulle caratteristiche biometriche degli utenti) e le violazioni di privacy (gli operatori del metaverso avranno una visibilità senza precedenti sulle azioni degli utenti) e non sono da escludere nemmeno i danni materiali (ipotizzando, per esempio, che un hacker possa modificare un videogioco agendo su luci e suoni per causare danni alla vista o attacchi epilettici a chi indossa i visori).

Dieci pericoli nel metaverso

Sui rischi insiti in questa nuova dimensione virtuale su cui stanno investendo molte aziende (a partire, naturalmente, da Meta) si era già espresso l’Identity Management Institute, società californiana di servizi di formazione e certificazione in area cybersicurezza. L’azienda ne ha elencati dieci, partendo dal pericolo di cyberbullismo e molestie. Esistono dei precedenti, come il caso di una videogiocatrice che sostiene di essere stata molestata (lei e il suo avatar) lo scorso febbraio da un gruppo di videogiocatori del sesso opposto.



C’è poi il rischio di danni psicologici e psicofisici, citato anche da Trend Micro: con l’inserimento di immagini o video confezionati ad hoc, un malintenzionato potrebbe causare senso di nausea, vertigini o anche attacchi epilettici. Il terzo pericolo è quello del furto d’identità, una pratica già diffusa (e in crescita) nel Web e che nel metaverso potrebbe risultare ancor più semplice da realizzare, vista l’assenza di regolamentazione e di misure di sicurezza.



Il quarto punto riguarda la raccolta di dati da parte delle aziende, effettuata senza consenso degli utenti. Anche in questo caso non si tratta di un rischio esclusivo del metaverso, come dimostrano episodi di cronaca con protagonisti i social media (su tutti, lo scandalo di Cambridge Analytica e Facebook) e l’uso indiscriminato dei cookie di tracciamento (specie in passato). Rispetto a quanto accade su Internet, tuttavia, nel metaverso la raccolta non autorizzata potrebbe riguardare ulteriori tipologie di dati, come quelli biometrici. Negli scenari più estremi, le aziende disoneste potrebbero ottenere l’identikit degli utenti, il calco esatto della loro voce o dei loro volti, mappati e misurati al millimetro.



C’è poi il già citato rischio di attacchi ransomware, che potrebbero colpire e crittografare un ampio ventaglio di informazioni anche sensibili. Il metaverso - e siamo al punto sei - rappresenta anche un nuovo canale di diffusione e un nuovo palcoscenico per i deep fake, cioè contenuti audio e video creati o contraffatti attraverso l’intelligenza artificiale. L’elenco prosegue con il rischio di attacchi di social engineering, nei quali gli utenti vengono raggirati e manipolati psicologicamente affinché cedano informazioni sensibili (dati personali, password, dati di carta di credito e via dicendo) che potrebbero poi essere rivendute sul Dark Web. In questo caso, così come per il social engineering “tradizionale”, la miglior difesa è un’adeguata educazione sul tema.



L’ottavo pericolo è connesso alla topografia del metaverso, che è fatto di luoghi condivisi, spazi virtuali in cui le persone si incontrano e interagiscono. Come già è accaduto agli albori del Web con i forum tematici e poi con i gruppi e sottogruppi dei social media e con i videogiochi online in multiplayer, c’è il rischio che si creino delle comunità non pacifiche. Tensioni, insulti e bullismo tra gli avatar potrebbero proliferare, causando stress o danni psicologici nel mondo reale.



L’Identity Management Institute sottolinea poi - e siamo al nono punto - che qualsiasi applicazione può contenere delle vulnerabilità software o codice malevolo nascosto. Nel contesto del metaverso, i danni legati a questo rischio potrebbero essere particolarmente gravi, considerando la quantità di dati sensibili racchiusi in questa dimensione. Infine c’è un pericolo di fondo, non legato a eventuali attività malevole o al mancato rispetto delle regole bensì alla natura stessa del medium: il metaverso potrebbe farci perdere il senso della realtà, o se non altro potrebbe alterare la nostra percezione del mondo esterno.

Come mettere in sicurezza il metaverso

Per regolamentare e mettere in sicurezza il metaverso, Trend Micro suggerisce di partire cercando di dare risposta a una serie di domande. Come saranno moderate le attività degli utenti e il parlato nel metaverso? E chi saranno i responsabili? Come verranno controllate e applicate le violazioni del diritto d'autore? Come faranno gli utenti a sapere se stanno interagendo con una persona reale o con un bot? Ci sarà un test di Turing per differenziare l'IA dagli esseri umani? C'è un modo per salvaguardare la privacy impedendo che il metaverso venga dominato da poche grandi aziende tecnologiche? E in che modo le Forze dell'Ordine possono intercettare il crimine nel metaverso, superando il problema degli elevati costi di tale attività?



“Il metaverso è una visione hi-tech multimiliardaria che definirà la prossima era di Internet”, ha commentato Gastone Nencini, country manager di Trend Micro Italia. “Sebbene non sappiamo esattamente come si svilupperà, dobbiamo iniziare a pensare ora a come verrà sfruttato dai cybercriminali. Dati i costi elevati e le sfide giurisdizionali, le Forze dell'Ordine faranno in generale fatica a sorvegliare il metaverso nei primi anni. Dobbiamo intervenire ora, altrimenti si rischia che un nuovo selvaggio West si sviluppi nel nostro mondo digitale".