Il voice phishing o vishing è purtroppo una tecnica molto utilizzata dai truffatori. Grazie all’intelligenza artificiale, i cybercriminali sfruttano sempre più spesso il deepfake vishing, ovvero voci clonate che ingannano le ignare vittime in quanto sono quasi indistinguibili da quelle reali. Gli esperti di Group-IB hanno descritto questo sofisticato attacco di ingegneria sociale.

Dal furto dell’audio al riciclaggio di denaro

Il vishing viene sfruttato per ogni genere di truffa. I cybercriminali telefonano alla vittima impersonando un dipendente della banca, un ufficiale di polizia, un tecnico dell’assistenza, un dirigente dell’azienda o un parente. Viene quindi chiesto di eseguire alcune azioni con urgenza, come il pagamento di una somma di denaro per aiutare un figlio, la comunicazione di informazioni personali o l’installazione di un software per l’accesso remoto.

La voce del cybercriminale è tuttavia facilmente riconoscibile, quindi la maggioranza delle persone chiude la telefonata (le vittime preferite sono quasi sempre anziani). Per aumentare la probabilità di successo viene utilizzato il deepfake vishing. Il primo passo è ottenere una clip audio di persone familiari (un parente, un collega o un dirigente). L’audio può essere trovato online (ad esempio sui social media o su YouTube) oppure registrato durante una tradizionale chiamata di vishing.

Bastano solo 3 secondi per clonare la voce, utilizzando uno dei numerosi servizi disponibili (anche gratis). È possibile generare una voce con tono, accento e stile con elevato realismo in qualsiasi lingua. Viene quindi usata per effettuare una telefonata, eventualmente falsificando il numero (CLI spoofing) in modo da sembrare quello di banche, agenzie governative o dirigenti.

Durante le chiamate viene utilizzato un testo preparato in anticipo. La clonazione della voce in tempo reale è poco sfruttata (per adesso). Solitamente viene chiesto il versamento urgente di denaro su conti o wallet di criptovalute gestiti dai cybercriminali. I soldi vengono subito riciclati e persi per sempre (solo il 5% viene recuperato).

Questo tipo di attacco di ingegneria sociale è molto difficile da rilevare e bloccare. Se vengono chiesti dati personali o denaro, l’unica opzione è chiudere la telefonata e chiamare il vero numero del mittente impersonato dai cybercriminali.