Una truffa digitale già nota ha acquisito una nuova (e preoccupante) veste grazie alle ultime tecnologie. Ecco come funziona.
BERNA - Durante quella videochiamata con il suo capo, il responsabile finanziario di un'azienda svizzera ha notato qualcosa che non andava, la sua voce era un po' strana e l'abbigliamento non era quello che era solito indossare. E anche le richieste erano insolite, voleva avere il suo numero di cellulare e chiedeva di effettuare alcune operazioni, e versamenti, un po' fuori dagli schemi.
Il sospetto si è poi rivelato fondato, quello non era il suo Ceo ma un alter-ego truffaldino creato da degli abili criminali informatici sfruttando l'intelligenza artificiale e la tecnologia Deepfake. Erano stati gli stessi e-malintenzionati a invitarlo in quella call, fornendogli via mail i dati d'accesso.
Il caso, peraltro reale, è descritto dall'Ufficio federale della cibersicurezza (Ufcs) in uno dei suoi blog settimanali. Si tratta di un uso inedito della tecnologia, particolarmente ingegnoso e insidioso: «Non è chiaro dove i criminali abbiano trovato il materiale di partenza per creare i video falsi», spiega proprio l'UFCS, che ipotizza come «per creare questi video deepfake sia stato utilizzato materiale video disponibile pubblicamente».
E per quanto riguarda la voce: «Un’altra possibilità è quella di effettuare delle telefonate a monte. Diverse aziende hanno infatti segnalato di aver recentemente ricevuto telefonate da parte di persone sconosciute che chiedevano varie informazioni sull’azienda. Oltre alle informazioni ottenute, utili per attacchi mirati, queste chiamate permetterebbero di copiare la voce registrata del capo utilizzando l’intelligenza artificiale e i deepfake».
Quella perpetrata ai danni della ditta in questione è una versione "aggiornata" della già nota truffa del CEO, piuttosto basilare, in cui vengono replicati (anche malamente) gli indirizzi email dei dirigenti per richiedere ai reparti finanziari versamenti o pagamenti «urgentissimi».
Questa nuova versione però, anche secondo l'UFCS, è di un altro livello: «Questo episodio dimostra ancora una volta che anche i truffatori stanno cercando di sfruttare l’intelligenza artificiale per i propri scopi, sebbene il suo uso non sia ancora così professionale. Nel caso in questione, la truffa è stata scoperta in tempi relativamente brevi. I truffatori si sono limitati a manipolare solo il volto del capo», mentre il resto del corpo restava quello del criminale.
Come proteggersi, dai capi fino ai dipendenti
Qui di seguito riportiamo i consigli dell'UFCS diretti alle aziende:
- Sensibilizzate tutti i collaboratori sulla truffa del CEO. Occorre informare in particolare chi lavora nei reparti finanziari e chi occupa posizioni chiave su questi potenziali metodi di attacco. Nelle associazioni devono essere istruiti tutti i membri che svolgono la funzione di presidente o tesoriere.
- Sensibilizzate i collaboratori sul fatto che gli attacchi mirati possono essere effettuati sfruttando informazioni disponibili pubblicamente.
- Limitate allo stretto necessario le informazioni sul vostro sito web relative all’organico. Ciò vale in particolare anche per i video.
- Non divulgate alcuna informazione interna, né per e-mail né per telefono.
- Siate prudenti con le richieste di pagamento: non date seguito a ordini di pagamento insoliti.
- Tutti i processi che riguardano il traffico dei pagamenti dovrebbero essere disciplinati in modo chiaro all’interno dell’azienda e sempre rispettati da tutto il personale (ad es. principio del doppio controllo, firma collettiva a due).