Quando una voce amica può fregarti: attenti alla truffa del “deepfake voice”

Se con le misure di sicurezza di “Strong Customer Authentication”, introdotte recentemente dalla direttiva europea PSD2, è diventato più difficile per i malintenzionati entrare sul vostro conto corrente online, per sottrarvi illecitamente del denaro, i criminali informatici non si danno affatto per vinti e ricorrono sempre più spesso a nuovi espedienti, affinché siate voi stessi a consegnare i soldi direttamente nelle loro mani.

Una delle frodi informatiche più utilizzate è conosciuta come “la truffa del Ceo” (dell’amministratore).

La strategia del criminale è quella di inviare una mail ad una segretaria o ad un responsabile amministrativo di una società fingendosi di essere l’amministratore delegato, o un top manager, che richiede di effettuare un bonifico urgente, ad un certo fornitore, indicando importo, causale, e naturalmente l’iban su cui trasferire i fondi.

Anche se cadere in un trabocchetto del genere può sembrare un errore da sprovveduti, in realtà prima di sferrare l’attacco il malintenzionato studia i due rispettivi personaggi che ha preso di mira, andando a fare ricerche sul loro conto e sulle posizioni da essi ricoperte, sia sul sito aziendale che sui profili di social network come Linkedin o Facebook, arrivando così a conoscere certi dettagli che gli consentiranno di impersonare sufficientemente bene, il putativo mittente della mail, a tal punto da far credere al fidato collaboratore, che la richiesta di fare quel bonifico gli proviene proprio dal suo capo, il quale sotto mentite spoglie potrà pure interloquire con lui in eventuali mail.

Una variante evoluta della “truffa del Ceo” che sta prendendo campo ultimamente, viene propinata dai criminali per telefono, simulando la voce del capo attraverso un sofisticato sintetizzatore vocale in grado di riprodurre i pattern vocali della persona. In un caso riferito dal Wall Street Journal, il dirigente di un’azienda inglese, che opera nel settore energetico è stato raggiunto telefonicamente da quello che sembrava essere a tutti gli effetti il suo superiore dalla Germania, il quale gli ordinava di fare un trasferimento di fondi urgente ad un fornitore ungherese. Dato che ne riconosceva il timbro vocale e perfino l’accento tedesco, il dirigente non ha esitato a disporre il bonifico, ma quando si è accorto che si trattava di una frode era ormai troppo tardi, e i soldi transitati sul conto ungherese erano già stati “spezzettati” e dirottati in altri conti in varie parti del mondo.

I crimini di cybersicurezza aumentano ogni giorno man mano che le tecnologie  diventano più sofisticate. Le maggiori minacce sono sui settori assicurativo, finanziario e anche verso il consumatore finale.

Bisogna prepararsi a contrastare le tecnologie emergenti. Le aziende, ma anche gli utenti dei sistemi informatici, devono valutare attentamente la loro sicurezza e le loro strategie antifrode, facendo che le operazioni effettuate tramite la rete internet, abbiano protocolli di autenticazione sempre più efficienti, per garantire che siano salvaguardate le loro risorse.

Le vittime di frodi continueranno a crescere man mano che le tattiche fraudolente diventano più sofisticate e mirate, la customer experience attuata con dei protocolli di sicurezza sempre più stringenti, è il prossimo campo di battaglia per le entrate delle imprese.

La customer experience si fonda su un elemento principale: la conoscenza dei propri clienti. Più dettagliate sono le informazioni sulla persona, il suo stile di vita, le sue preferenze e le sue attitudini, migliori saranno le esperienze offerte.

Allo stesso tempo però, cresce la necessità che quei dati vengano acquisiti, trattati e conservati in sicurezza e conformemente alla normativa di riferimento.

Con l’introduzione del regolamento generale sulla protezione dei dati (GDPR), infatti, il Parlamento Europeo ha voluto dare un segnale molto forte alle aziende e agli operatori online, imponendo normative sempre più stringenti, per limitare la libertà di manipolazione e trasferimento dei dati sensibili.

Siamo stati tutti tratti in inganno dai video elaborati con la tecnologia Deepfake, ma bisogna sapere che tale strumento, nel 2019,ha trovato un utilizzo fraudolento, ma i truffatori hanno trovato il modo di migliorare questa tecnologia per i loro usi.

Gli attacchi vocali sintetici diventeranno presto la prossima forma di violazione dei dati. Nel prossimo futuro, vedremo i truffatori chiamare i contact center utilizzando voci sintetiche per testare le aziende sulla presenza o meno della tecnologia per rilevarle, in particolare per il settore bancario. I software elaborati a tale scopo, possono imparare a imitare qualsiasi voce, utilizzando l’apprendimento automatico dell’intelligenza artificiale.

A breve, tutti i dispositivi che interagiscono con le persone, telefoni, app, dispositivi intelligenti, automobili, banche e uffici identificheranno i consumatori con la loro voce.

Sarà l’economia conversazionale. I leader IT prevedono che la tecnologia vocale, consentirà risparmi sui costi, aumenterà la soddisfazione dei clienti e diventerà un vantaggio competitivo.

Ma l’economia conversazionale comporta un’esperienza cliente più personalizzata, comporta che l’autenticazione deve essere prioritaria come tecnologia chiave per le aziende. Le tradizionali domande di autenticazione basate sulla conoscenza, come “qual è il cognome di tua madre da giovane” o “qual’è stata la tua prima auto”, non sono più una forma efficace di autenticazione dei clienti.

Sembrava un caso isolato quello raccontato dal Wall Street Journal nel marzo scorso eppure la nuova frontiera dello scam, e cioè quel tentativo di truffa pianificata con metodi di ingegneria sociale nella quale si promettono grossi guadagni in cambio di somme di denaro da anticipare, ha sviluppato una nuova tecnica che tutt’oggi risulta essere decisamente efficace.

Il responsabile della società truffata in questione, pensava di parlare al telefono con l’amministratore delegato della casa madre che richiedeva urgenza dei fondi per saldare un fornitore ungherese.

La voce sarebbe stata ricostruita al computer grazie a un algoritmo che ha imitato in tutto e per tutto la voce del CEO.

Anche se il manager dell’azienda, insospettitosi dalle numerose chiamate ricevute, non ha proceduto al pagamento di tutte le somme richieste, ma la richiesta della prima transazione è stata evasa e la somma è stata versata su un conto ungherese sotto il controllo dei trufftori, somma che poi è stata trasferita in un conto messicano.

Non è il primo caso di scamming, tant’è che la BBC nel mese di luglio già aveva riportato la notizia che Symantec aveva assistito tre clienti in casi simili,in cui il software AI era stato utilizzato per cercare di frodarli.

Di truffe che circolano con l’obiettivo di indurre chi gestisce le finanze di un’azienda a fare inavvertitamente dei bonifici su conti bancari che fanno capo a delle organizzazioni criminali ne esistono diverse varianti, e per questo non è semplice difendersi.

Le misure organizzative diventano fondamentali, come la formazione e il regolare aggiornamento per conoscere le minacce, l’introduzione di procedure interne, codici di comportamento sulle informazioni personali che dipendenti, con un certo grado di responsabilità, dovrebbero evitare di pubblicare sui loro profili social.