Come le sofisticate truffe deepfake mirano a estorcere milioni alle aziende edili

I dirigenti della società di ingegneria Arup di Hong Kong lo hanno sicuramente fatto. A febbraio, hanno affermato che i criminali hanno utilizzato la tecnologia in una truffa sofisticata, convincendo uno sfortunato dipendente a versare milioni di dollari su conti falsi.

I criminali avrebbero ottenuto questo risultato impersonando più figure senior dell'azienda in una chiamata online. Sebbene i dettagli su come esattamente funzionava la truffa non siano stati confermati, si pensa che le voci del management aziendale siano state "clonate", consentendo ai criminali di suonare familiari al dipendente. Non si pensa che sia stato coinvolto il video, che richiede una tecnologia più sofisticata.

Le voci clonate, se è davvero così che i presunti criminali hanno messo a segno la truffa, sono un esempio della tecnologia deepfake che, di pari passo con l'intelligenza artificiale (IA), si sta sviluppando a un ritmo vertiginoso.

Definiti come media sintetici manipolati digitalmente per sostituire in modo convincente l'immagine di una persona con quella di un'altra (che si tratti della voce, dell'aspetto o di entrambi), la tecnologia alla base dei deepfake è complessa.

Nuove tecnologie, vecchi trucchi

Tuttavia, come spiegano gli esperti di sicurezza online Richard Hughes e Hodei Lopez della società globale di servizi IT A&O IT Group , sebbene le truffe deepfake siano di per sé qualcosa di relativamente nuovo, si basano su una formula collaudata che coinvolge l'ingegneria sociale.

Il phishing via e-mail, con cui la maggior parte delle persone ha ormai familiarità, segue lo stesso formato. Allo stesso modo in cui un'e-mail che sembra provenire da un'azienda o un contatto fidato chiede al destinatario di cliccare su un link sospetto o di compilare un modulo, così il deepfake aumenta quel senso di familiarità creando una plausibile impersonificazione di una persona reale nota alla vittima prima di approfittare della sua fiducia e della sua buona volontà per ottenere ai criminali ciò che vogliono.

"Abbiamo lentamente sviluppato la capacità di non fidarci del phishing perché è così onnipresente al giorno d'oggi", afferma Lopez. "Quindi l'ultimo approccio fa un ulteriore passo avanti".

Se l'idea che dei criminali riescano a scoprire l'aspetto e il tono di determinate persone all'interno di un'azienda e poi a crearne delle somiglianze convincenti sembra inverosimile o difficile da realizzare, allora considerate quante informazioni sulle persone sono oggi disponibili online.

"I nostri personaggi sono molto pubblici oggigiorno, in particolare se sei ai livelli più alti della C-suite", afferma Hughes. "Probabilmente hai fatto presentazioni o impegni di parlare in video. La tua voce sarà stata ascoltata. Più immagini riesci a ottenere di una persona, migliore sarà la qualità del video. Più campioni del suo discorso, migliore sarà la qualità audio. Potrei avere una conversazione con te e catturare la tua voce. Non è troppo difficile".

Sebbene non siano necessariamente estremamente complesse, le truffe deepfake devono essere ben organizzate, afferma. "Un sacco di ransomware viene inviato a un milione di persone e una o due potrebbero rispondere: non è affatto mirato. Con i deepfake, i criminali devono avere un piano da mettere in atto e certamente è mirato. Questa è la differenza".

Le imprese edili sono un bersaglio

Se servissero altre prove oltre all'attacco di cui è stata vittima Arup, le aziende edili hanno almeno le stesse probabilità di essere prese di mira dai truffatori deepfake rispetto alle aziende di qualsiasi altro settore.

I criminali sono realmente interessati solo alla probabilità di successo del loro piano e vanno alla ricerca dei punti deboli, afferma Lopez.

"Prenderanno di mira ambienti che potrebbero essere meno avanzati tecnologicamente, come l'edilizia, ad esempio", spiega. "In quell'ambiente cercheranno di trovare persone che sono forse più anziane o meno consapevoli della tecnologia, oppure potrebbero prendere di mira regioni che sono meno inclini alla tecnologia".

E in un'analogia calzante per questo settore, aggiunge: "Se la sicurezza è un muro di mattoni, il nostro compito è di mantenere l'intero muro. È difficile perché ci sono molti mattoni: se trovano un solo mattone allentato, lo tirano via e basta.

"Potrebbero prendere di mira una persona che è vicina a una posizione di potere, una segretaria che potrebbe essere un po' meno informata in materia di tecnologia e disposta ad aiutare con una richiesta di qualche tipo. Poi usano quell'empatia per schiacciare la persona."

Come stare in guardia

Quando si tratta di come proteggere la propria azienda dagli attacchi deepfake, Hughes sostiene che prevenire è meglio che curare.

Lopez sottolinea: "Il problema principale di tutti questi tentativi di ingegneria sociale è che ti mettono in una situazione di pressione: 'Voglio che questo venga fatto subito o perderemo affari'. Sentirsi dire 'Voglio che questo venga fatto subito' ti fa perdere tutte le capacità di pensiero critico che hai sviluppato".

I dipendenti devono essere incoraggiati a mettere in discussione ciò che viene loro chiesto di fare. Nel frattempo, la dirigenza deve assicurarsi che sia abbastanza accessibile da far sì che le persone sentano di poter mettere in discussione tali richieste.

Immagine: weerapat1003 tramite AdobeStock - stock.adobe.com

Almeno quando si tratta di video, i deepfake potrebbero ancora offrire segnali rivelatori che non sono reali, almeno per ora. Poiché un video deepfake comporta la sovrapposizione di un volto falso su una persona reale di fronte a una telecamera, ci saranno sfocature o artefatti che appariranno quando il soggetto si tocca la testa o il viso.

"Ma per le persone meno tecniche, quando vedono una persona che riconoscono, tutto va a farsi benedire", afferma Hughes.

In ogni caso, poiché la clonazione vocale (sia text-to-voice, sia live voice-to-voice) è più matura e meno tecnologicamente intensiva, è più probabile che le truffe riguardino la voce piuttosto che il video in diretta, il che è più complicato da realizzare con successo. Ed è molto più difficile da individuare, in particolare in una telefonata in cui la qualità audio è generalmente inferiore o è stato aggiunto rumore di fondo.

Hughes sostiene una formazione regolare su cosa tenere d'occhio. "Tendiamo a pensare che sei mesi siano il massimo che si possa resistere senza aver bisogno di rinforzi", afferma. Più a lungo di così, le persone tendono a dimenticare i rischi, avverte.

Consiglia inoltre di affiggere poster nelle mense e nelle cucine per rafforzare il messaggio, e persino di affiggere messaggi sugli sfondi dei computer aziendali, cambiandoli ogni poche settimane, se l'azienda è abbastanza grande da poterli gestire centralmente.

Lopez consiglia inoltre di rafforzare i processi aziendali tenendo a mente la sicurezza. "Ad esempio, se si sta effettuando una grande transazione finanziaria, allora forse dovrebbe esserci un meccanismo extra in cui deve essere verificata da più persone. O forse dovrebbe esserci un passaggio extra che una persona in una posizione di leadership deve compiere, come la conferma tramite SMS, prima che possa essere eseguita".

Nel caso di criminali che chiedono alle vittime di effettuare dei pagamenti, una volta che il denaro è sul loro conto, allora è quasi certamente troppo tardi, dice Hughes. "Questi ragazzi sono piuttosto organizzati. Se si versa denaro in un conto bancario, allora è probabile che sparisca in pochi secondi dopo essere arrivato su quel conto.

"Quindi si tratta innanzitutto di educare le persone a individuare la minaccia e poi, in secondo luogo, di rivedere i propri processi per assicurarsi che, se si è incoraggiati a effettuare una qualche forma di transazione che si ritiene possa essere un po' sospetta, allora sia più difficile farlo subito".

Conclude: "Andrà solo peggio man mano che la tecnologia migliora. Chiunque abbia una macchina da gioco ragionevole può eseguire un deepfake. Abbiamo assistito a un enorme trend in crescita nell'ingegneria sociale in generale durante il covid e non si è ancora stabilizzato. È un business alla fine della giornata, uno con un enorme ritorno sull'investimento".

Un dipendente di Arup è vittima di una truffa tramite videochiamata deepfake da 25 milioni di dollari La società di ingegneria Arup ha confermato che uno dei suoi dipendenti di Hong Kong è stato vittima di una videochiamata deepfake che li ha portati a trasferire 200 milioni di dollari di Hong Kong (25,6 milioni di dollari) di denaro aziendale a dei criminali