La frode del Voice Phishing
Il vishing è uno dei metodi di frode più insidiosi. Il mondo della sicurezza informatica, negli ultimi anni, è stato messo a dura prova da questi, ed altri, attacchi sempre più sofisticati.
Con l’evoluzione delle tecnologie di intelligenza artificiale (AI), il fenomeno ha raggiunto nuove vette di complessità, specialmente con l’uso dei deepfake, come dimostrato da un recente attacco che ha coinvolto il CEO di Ferrari.
Vishing: che cos’è
Il vishing è una forma di phishing che si verifica attraverso chiamate vocali o messaggi vocali.
Il termine è una combinazione delle parole voice (voce) e phishing. Mentre il phishing tradizionale utilizza e-mail o messaggi testuali per ingannare le vittime, il vishing si basa sulla fiducia che le persone tendono ad avere nelle comunicazioni vocali.
I truffatori, attraverso tecniche avanzate, imitano la voce di persone autorevoli o di fiducia, come dirigenti aziendali, parenti o figure pubbliche, per convincere la vittima a fornire informazioni sensibili o effettuare trasferimenti di denaro.
Phishing vocale: l’inganno per estorcere informazioni sensibili
Nel phishing vocale, quindi, i truffatori utilizzano telefonate o messaggi vocali per ingannare le vittime e indurle a rivelare informazioni sensibili, come dati bancari, numeri di carte di credito o credenziali di accesso.
Il vishing, quindi, sfrutta la fiducia che le persone hanno nei confronti della comunicazione vocale: la voce, infatti, è un elemento che viene considerato affidabile.
I truffatori spesso si spacciano per rappresentanti di banche, enti governativi o aziende, facendo leva su situazioni urgenti o su problemi falsi, come attività sospette su un conto bancario o necessità di aggiornare le credenziali di sicurezza. Una volta guadagnata la fiducia della vittima, la convincono a fornire le informazioni richieste o a eseguire azioni come trasferimenti di denaro.
Con tecnologie avanzate come i deepfake vocali, i criminali possono replicare la voce di persone note, come dirigenti aziendali o parenti, rendendo ancora più difficile individuare la frode. Il risultato è che le persone possono fornire inconsapevolmente informazioni personali o finanziarie, causando perdite economiche significative e potenziali furti d’identità.
Voice phishing: perché è pericoloso?
Il voice phishing è un attacco informatico pericoloso, perché sfrutta la fiducia che le persone hanno nelle conversazioni vocali.
Per le vittime individuare l’inganno rispetto al phishing convenzionale è più complesso. A differenza di comunicazioni scritte (e-mail o messaggi di testo sospetti), una telefonata o un messaggio vocale, specialmente se sembra provenire da una fonte affidabile come una banca, un’azienda o un’autorità governativa, è spesso percepita come più legittima.
I truffatori, inoltre, creano situazioni di urgenza, come presunti blocchi del conto bancario o tentativi di accesso non autorizzati, inducendo la vittima a reagire rapidamente senza verificare l’autenticità della chiamata. L’uso di tecnologie avanzate come i deepfake vocali, permettono a questi criminali di replicare la voce di persone note, innescando la truffa.
Deepfake vocali: cosa sono
I deepfake sono manipolazioni digitali che, attraverso tecniche avanzate di IA, possono replicare volti, movimenti e, più recentemente, voci in modo estremamente realistico.
Nel caso del deepfake vocale, i truffatori utilizzano una registrazione esistente della voce di una persona per addestrare un modello di IA che può simulare la sua voce in modo convincente, imitando intonazione, ritmo e pronuncia.
L’uso di deepfake vocali in attacchi di vishing rappresenta una minaccia crescente. I criminali non devono più essere presenti fisicamente o avere una stretta conoscenza della vittima. Con abbastanza campioni vocali, possono manipolare la voce di chiunque, ingannando persone che sarebbero normalmente in grado di riconoscere un tentativo di frode.
Il caso del CEO di Ferrari
Nel 2023 un tentativo di frode ha coinvolto il CEO di Ferrari, Benedetto Vigna, evidenziando una delle minacce emergenti nel campo della sicurezza informatica: l’uso dei deepfake vocali. I truffatori hanno sfruttato una simulazione della voce del CEO per cercare di ingannare un dipendente dell’azienda, convincendolo a effettuare un trasferimento di denaro su un conto fraudolento.
Questo episodio sottolinea quanto sia sofisticata la tecnologia utilizzata negli attacchi di vishing e come anche le grandi aziende, come Ferrari, siano vulnerabili a queste tecniche avanzate. Il tentativo è stato sventato grazie a protocolli di verifica interna, ma il caso ha sollevato serie preoccupazioni sulla sicurezza delle comunicazioni aziendali e la necessità di nuove misure di protezione contro le frodi digitali.
L’attacco a Benedetto Vigna: dinamica e implicazioni
Nel caso di Benedetto Vigna, CEO di Ferrari, i truffatori hanno utilizzato un campione della sua voce, probabilmente preso da interviste pubbliche o conferenze, per creare una simulazione vocale credibile. La chiamata era apparentemente urgente, come spesso accade in attacchi di questo tipo. La pressione per agire rapidamente è una delle tattiche principali utilizzate dai criminali per ridurre il tempo di riflessione della vittima e indurla a compiere azioni avventate.
L’incidente accaduto a Benedetto Vigna ha evidenziato che anche le comunicazioni aziendali possono essere vulnerabili. Ha, altresì, posto l’attenzione sull’importanza di una vigilanza costante e di misure di sicurezza più robuste per proteggere le informazioni sensibili, evidenziando come anche una figura di alto profilo come il CEO di Ferrari possa diventare un obiettivo per i truffatori.
Vishing: come difendersi
Il caso Ferrari ha evidenziato l’importanza di adottare misure di sicurezza più sofisticate per proteggere le aziende da attacchi di vishing e dall’uso di deepfake. Ci sono alcune strategie che si possono attuare per prevenire tali attacchi. Vediamone alcune.
Verifica dell’identità
È fondamentale non fidarsi ciecamente di una voce, anche se familiare. Le aziende dovrebbero adottare procedure di verifica dell’identità per qualsiasi richiesta sensibile. Per esempio in caso di chiamate che richiedono trasferimenti di denaro o altre operazioni critiche, il personale dovrebbe essere obbligato a confermare l’autenticità della richiesta attraverso un secondo canale di comunicazione, come un’e-mail cifrata o un messaggio di testo.
Formazione del personale
La consapevolezza del rischio è uno dei primi passi per la prevenzione. Le aziende devono educare i propri dipendenti sui potenziali attacchi di vishing e deepfake, insegnando loro come riconoscere i segnali d’allarme. Sessioni regolari di formazione sulla sicurezza informatica possono ridurre significativamente il rischio di successo di un attacco.
Implementazione di tecnologie di riconoscimento vocale
Esistono tecnologie emergenti in grado di rilevare anomalie nella voce, come le distorsioni tipiche dei deepfake. Questi sistemi possono essere utilizzati per analizzare le chiamate in tempo reale e segnalare potenziali minacce.
Autenticazione a più fattori (MFA)
Anche se l’attacco vocale riesce, le aziende possono proteggersi ulteriormente implementando metodi di autenticazione a più fattori (MFA). In questo modo, anche se un truffatore riesce a ingannare una persona, senza l’accesso a un secondo fattore di autenticazione, come un token o una conferma biometrica, non sarà in grado di completare la frode.
Utilizzo di sistemi di allerta interni
Le aziende dovrebbero creare protocolli interni per segnalare rapidamente qualsiasi tentativo di attacco. Se un dipendente riceve una richiesta sospetta da parte di un dirigente, dovrebbe essere in grado di segnalarla immediatamente attraverso un sistema di allerta interno, riducendo il tempo necessario per individuare e neutralizzare la minaccia.
Il caso del deepfake del CEO di Ferrari ha dimostrato quanto siano avanzati gli attacchi di vishing e quanto sia importante adottare misure di sicurezza adeguate per proteggersi da queste minacce. Le aziende devono considerare seriamente l’implementazione di politiche di sicurezza avanzate e la formazione del personale per prevenire attacchi che potrebbero causare gravi danni economici e reputazionali.