Blog

Evoluzione delle frodi e la minaccia dei deepfake

By Kyriba

Negli ultimi anni la tecnologia Deepfake è salita alla ribalta per la sua incredibile capacità di ingannare le persone prese di mira con foto, video e audio falsificati. Il software, che può essere incredibilmente convincente, viene sempre più impiegato dagli studi cinematografici hollywoodiani. Tuttavia, le innovazioni più recenti della tecnologia rappresentano una seria minaccia sia per le aziende sia per le persone.

Nelle mani dei truffatori, la tecnologia deepfake può creare l’illusione di una transazione legittima. Potreste pensare che sia il CEO, il CFO o il legale incaricato di una fusione a richiedere un pagamento legittimo. Invece, prima che vi rendiate conto di essere stati ingannati, è già troppo tardi.

Solo lo scorso anno, la tecnologia voce deepfake è stata utilizzata per sottrarre $ 35 milioni a una banca di Hong Kong. Il direttore della banca ricevette una chiamata e numerose e-mail dal manager di un’azienda con cui aveva parlato in passato. Il manager sosteneva che la sua azienda avrebbe presto concluso un’acquisizione e che per completare il processo avrebbe avuto bisogno di un trasferimento di $ 35 milioni. Il direttore della banca, riconoscendo la voce dell’uomo e credendo che tutto fosse legittimo, decise di trasferire il denaro.
Naturalmente, la persona che aveva chiamato il direttore della banca e inviato le e-mail non era chi diceva di essere e il denaro venne sottratto. Il furto ebbe implicazioni per aziende di qualsiasi dimensione poiché rappresentava l’ultimo gradino di una scala evolutiva di una truffa che aveva indotto professionisti finanziari benintenzionati a trasferire milioni nelle mani sbagliate.

Deepfake video e audio

La tecnologia Deepfake utilizza l’intelligenza artificiale per combinare fotografie di una persona a filmati di un’altra. Anche se lo scambio di volti nelle fotografie è divenuto negli anni una pratica molto diffusa grazie a Photoshop, la realizzazione di video deepfake è un’innovazione più recente. Nel tempo, la tecnologia è migliorata fino al punto in cui pochissime foto, e in alcuni casi solo una, sono necessarie per creare un deepfake video convincente.

“Tutto ciò di cui hanno bisogno i truffatori è un paio di immagini da caricare e addestrare un algoritmo per creare il volto deepfake”, spiega Beatriz Saldivar, Global Payment and Treasury Advisor di Kyriba. “Esistono anche programmi facilmente accessibili, tutto ciò che serve è uno smartphone o un laptop. Ci sono anche persone che per il giusto prezzo creano un deepfake di chiunque”.

Anche la tecnologia audio deepfake, o “deep voice”, è uno sviluppo recente. Proprio come con i video, il software non necessita che cinque secondi di audio per copiare la voce di una persona.

L’audio deepfake è particolarmente preoccupante, considerando la frenesia e i vincoli di tempo che caratterizzano gli ambienti della tesoreria e della finanza. Se i processi non sono in linea con la tecnologia che può proteggere le organizzazioni dalle frodi, possono commettere l’errore di inviare un pagamento in base alle istruzioni dell’audio deepfake.

Evoluzione BEC

Sia nel furto di $ 35 milioni sopracitato sia in quello del 2019 di $ 243.000 ai danni di una società energetica britannica, i truffatori hanno impiegato la tecnologia audio deepfake per clonare le voci dei dirigenti aziendali per richiedere trasferimenti di denaro. Sebbene la tecnologia sia nuova, questi incidenti sono solo l’ultima variazione del tipo più comune e più noto di truffa BEC (business email compromise, compromissione delle e-mail aziendali), la classica frode perpetrata ai danni dei CEO.

Entrambe le frodi sono state commesse alla perfezione, curandone i minimi dettagli, e con i tratti distintivi di una classica truffa BEC, ovvero richieste di trasferimento di denaro urgenti da parte di un dirigente . Se soltanto una di queste richieste fosse stata inviata esclusivamente via e-mail, sarebbe stata con tutta probabilità rilevata.

Ma poiché le vittime di questa truffa credevano di aver parlato con una persona di loro conoscenza, sono state facilmente tratte in inganno. Ecco perché questa nuova variazione della truffa BEC è così pericolosa.

Dopo i molteplici avvertimenti dell’Internet Crime Complaint Center (IC3) dell’FBI e l’imponente copertura mediatica su questo tipo di truffa, gli uffici delle tesorerie e della finanza hanno acquisito molta familiarità con i tratti distintivi delle truffe BEC. Eppure, malgrado questa consapevolezza, le truffe BEC continuano a diffondersi. Secondo l’AFP Payments Fraud and Control Survey 2021, lo scorso anno le frodi BEC sono state le più diffuse per il 62 percento degli intervistati. “Sebbene i leader delle tesorerie e della finanza siano molto consapevoli di quando diffuso sia questo tipo di frode, non sono in grado di combatterlo”, l’AFP ha spiegato nel report.

Qualsiasi esperto vi dirà che se riceverete una richiesta dubbia di un trasferimento di denaro via e-mail dovrete contattare il vostro contatto e verificare che la richiesta sia valida. Tuttavia, se la truffa inizia con il contatto telefonico da parte del vostro contatto con una voce del tutto riconoscibile, verrete con tutta probabilità ingannati.

Le frodi sono sempre in evoluzione. E quest’ultima fase dell’evoluzione delle truffe BEC potrebbe segnare un punto di svolta. Questi due incidenti, in particolare l’ultimo, provano che la tecnologia deepfake può essere utilizzata facilmente e portare grandi vantaggi ai criminali.

Brad Deflin, CEO e fondatore di Total Digital Security, crede che questo spingerà più criminali a cimentarsi con questa nuova tecnica. “Considerando gli enormi vantaggi per i criminali e il continuo perfezionamento della tecnologia, mi aspetto che queste truffe continuino ad aumentare”, spiega. “Questo è un aspetto dell’ingegneria sociale, tutto ciò che serve per creare un certo livello di credibilità e fiducia. Prima si trattava semplicemente di un’e-mail scritta bene. Ora, la consapevolezza è tale che non è più la via meno difficile per i criminali. Questi strumenti evolveranno e le innovazioni tecnologiche verranno usate per rendere più sofisticata le loro capacità di ingegneria sociale e il loro modo di approfittarsene”.

Ma la minaccia ancora più seria deve ancora arrivare. Se le telefonate con audio deepfake sono convincenti, non potrebbe esserlo anche una videochiamata su Zoom? Probabilmente i video deepfake non sono ancora all’altezza di ingannare con una rappresentazione tanto realistica di una persona durante una videochiamata, ma sicuramente si stanno evolvendo. L’attuale tecnologia delle videochiamate consente l’applicazione di filtri e sfondi semi-realistici… Siamo davvero così lontani dall’essere in grado di fare la stessa cosa con il volto di una persona reale?

Inoltre, questo potrebbe non essere nemmeno necessario. Molte persone non utilizzano il video nelle chiamate Zoom, in particolare nell’era post-COVID. Se qualcuno vi contattasse via Zoom e avesse un indirizzo e-mail convincente, la foto del profilo di LinkedIn visibile durante la chiamata Zoom e una voce familiare, avreste dei dubbi? Il furto dei $ 35 milioni non è che la punta dell’iceberg, ed è pressoché matematico che altri tentativi di frode verranno perpetrati.

“L’intelligenza artificiale è sempre più ricorrente e i criminali informatici sono notoriamente precursori nell’uso di nuove tecnologie”, spiega Deflin. “Le minacce BEC del futuro non avranno nulla a che fare con quelle del passato. L’intelligenza artificiale consente attacchi che gli esseri umani non potrebbero neanche concepire e per tutti gli impreparati sarà la fine”.

Evitare i deepfake-out

I seguenti suggerimenti possono aiutare i professionisti delle tesorerie e della finanza a identificare i deepfake audio e video.

  1. Non fidarsi mai delle chiamate in entrata. Un metodo sicuro e collaudato che spesso consente di sventare una truffa BEC consiste nel chiamare il proprio contatto (con un numero già in archivio) per verificare che abbia effettivamente richiesto il trasferimento di denaro. In questo nuovo paradigma delle minacce, si applicano ancora le stesse regole. Se il contatto vi ha chiamato sul vostro telefono o vi ha invitato a partecipare a una chiamata Zoom e ha richiesto un trasferimento, è comunque una buona idea chiamarlo successivamente su un numero ritenuto legittimo per fare chiarezza.
  2. Utilizzare una misura di verifica nella discussione. Un modo semplice ma efficace di assicurarsi di parlare con il contatto vero consiste nel verificarne l’identità durante la chiamata. Chiedete alla persona di rispondere a una serie di domande o di fornire una password che solo il vostro contatto può conoscere. Simile all’autenticazione a due fattori dei computer, questa procedura aggiunge un ulteriore livello di sicurezza.
  3. Utilizzare strumenti di autenticazione. Microsoft ha sviluppato uno strumento che analizza le foto e i video e fornisce un punteggio di affidabilità circa l’eventuale alterazione degli stessi. È in grado di rilevare i minimi indizi che portano a ritenere che un’immagine sia stata prodotta artificialmente, ad esempio la dissolvenza o i pixel in scala di grigio nei punti in cui il volto di una persona è stato unito a un altro. Sfortunatamente, poiché la tecnologia deepfake si sta evolvendo rapidamente, questi strumenti potrebbero essere rapidamente superati.
  4. Semplificare i processi manuali. Beatriz Saldivar di Kyriba consiglia di attuare solidi controlli dei pagamenti integrati a una tecnologia preposta a prevenire le frodi. Eventuali verifiche manuali all’esterno di un sistema ERP o TMS espongono a grandi rischi le organizzazioni che potrebbero entrare nel mirino dei truffatori.

Infine, il migliore consiglio che i professionisti finanziari possono seguire è quello di usare sempre un occhio critico. Sebbene non sia così facile essere super consapevoli delle minacce intorno a noi, è esattamente ciò di cui abbiamo bisogno in questo ambiente. “Dobbiamo aumentare la consapevolezza e stimolare il pensiero critico a livello individuale”, spiega Deflin. “Tutto quello che vederemo, come la tecnologia deepfake, è qualcosa che non abbiamo mai visto prima. Per questo, dobbiamo preparare le persone a vedere cose che non hanno visto prima conservando la loro capacità di sollevare dubbi e rispondere anziché semplicemente reagire”.

Share