Ingannato con il deepfake vocale: rubano 243 mila dollari

Il Wall Street Journal riporta la notizia del primo caso ufficialmente documentato di "vishing" o Voice Phishing: si tratta niente meno che di una frode perpetrata tramite una chiamata telefonica eseguita con una voce artificiale. In altri termini un deepfake vocale.

Un caso che è costato alla vittima - una azienda del Regno Unito che opera nel campo dell'energia - ben 243 mila dollari. La frode è stata commessa nel mese di marzo, quando i criminali ancor oggi sconosciuti hanno sfruttato l'ausilio di un software di sintesi vocale commercialmente disponibile, allo scopo di impersonale il responsabile di una società tedesca, proprietaria dell'azienda inglese poc'anzi citata. La polizia sta ancora indagando per individuare i colpevoli, mentre i nomi delle società rimaste vittima dell'operazione criminale non sono stati rivelati.

Il CEO di quest'ultima è stato raggiunto telefonicamente da quello che sembrava essere a tutti gli effetti il suo superiore: l'accento tedesco e i pattern vocali erano infatti apparsi familiari, tali da non far destare alcun sospetto. E la "voce conosciuta" ha chiesto al sottoposto di trasferire con urgenza, nel giro di un'ora, dei fondi ad un fornitore ungherese con la garanzia che la transazione sarebbe stata rimborsata immediatamente. Convinto di aver a che fare con il suo capo il CEO della società inglese ha eseguito quanto ordinatogli. E a questo punto non solo il trasferimento non è stato (ovviamente) rimborsato, ma i criminali hanno avanzato un'altra richiesta vocale per un ulteriore trasferimento con urgenza. A questo punto il CEO inglese si è opposto. I fondi trasferiti verso l'Ungheria sono poi stati spezzettati e dirottati in varie altre giurisdizioni.

Lo scorso mese di luglio il National Cyber Directorate israeliano ha emesso una nota d'avvertimento relativa ad un "nuovo tipo di cyber-attacchi" basati su tecnologie di Intelligenza Artificiale per impersonare dirigenti d'azienda di alto livello che impartiscono ordini (transazioni monetarie o altre attività dannose) agli impiegati. Il fatto che un crimine di questa precisa natura abbia già fatto la sua prima vittima dovrebbe essere motivo di preoccupazione, nonché importante campanello d'allarme per iniziare a considerare che difficilmente una vicenda come questa resterà un caso isolato.

Anzi, la probabilità maggiore è proprio che accada l'opposto: se gli attacchi basati sull'ingegneria sociale (non sai cos'è? Leggi questo articolo: La truffa corre sul conto online, ecco come) e coadiuvati da queste tecnologie avranno successo, casi come questi non potranno che aumentare di frequenza. E' verosimile supporre che le tecnologe di sintesi e imitazione vocale diverranno ancor più accurate, spingendo i criminali ad usarle a loro vantaggio per impersonare telefonicamente un'identità specifica e riuscire così ad ottenere informazioni riservate da sfruttare per eventuali mosse successive.

Lo scorso anno Pindrop, società di sicurezza specializzata proprio nella progettazione di software a contrasto delle frodi vocali, ha riscontrato una crescita del 350% in questo tipo di operazioni, con una chiamata vocale su 638 che risulta essere creata da software di sintesi.

Per ora il consiglio che si può dare è che le istruzioni vocali siano sempre verificate da istruzioni impartite tramite un altro canale di comunicazione, o comunque implementare un sistema a doppia verifica che possa assicurare che dall'altra parte della cornetta vi sia veramente colui con cui crediamo di parlare.