Miscellanea

La finta telefonata della banca che ti svuota il conto: il «vishing» e le altre truffe vocali (anche con voci clonate dall’AI)

Una chiamata, l'avviso di un tentativo di prelievo dal conto corrente. Ma poi ci accorgiamo che non tutto quadra: se fossimo stati più avventati, o distratti, le conseguenze avrebbero potuto essere molto salate. Come salvarsi e a cosa badare, anche se con i «deepfake» generati dall'intelligenza artificiale le armi in mano ai truffatori diventano sempre più sofisticate - di Paolo Ottolina e Roberto Cosentino

Come hanno provato a truffarmi

La finta telefonata della banca che ti svuota il conto: il «vishing» e le altre truffe vocali (anche con voci clonate dall'AI)icona play

Mi è capitato pochi giorni fa. Ricevo una telefonata sul cellulare. Ora di pranzo, sono in coda a una pizzeria da asporto. A chiamare è un numero di Milano. Rispondo. La persona dall’altra parte si qualifica come dipendente di una grossa banca online, presso cui in effetti ho un conto corrente. Tono professionale, nessun accento regionale.
«Le volevamo comunicare che abbiamo bloccato due prelievi sul suo conto, ci risultano richiesti nella zona di Madrid con un iPhone XR. Era lei?». No, non ero io.
La telefonata mi sembra credibile: il numero è effettivamente quello della banca, mi hanno chiamato per nome, sul mio numero privato associato al conto. In più, per pura combinazione, so che l’istituto in questione ha criteri di sicurezza migliorabili e che alcuni clienti, nei forum online, hanno denunciato accessi non voluti da parte di terzi.
La conversazione prosegue e, per mia fortuna, le cose prendono una piega un po’ strana. Il sedicente dipendente della banca dice che per poter completare il blocco dei prelievi fraudolenti devo dimostrare di essere davvero io e mi chiede accedere, in quel preciso momento, alla mia area riservata dell’home banking. A questo punto capisco che è meglio non fare nulla, anche perché ricordo le mille raccomandazioni di istituti bancari e autorità di sicurezza: nessuno vi chiederà mai al telefono codici di accesso o password, né tanto meno di effettuare trasferimenti di denaro od operazioni urgenti.
«Ora sono in un negozio e non ho connettività. Se mi può richiamare tra un’ora riprendiamo il discorso». Il tizio dall’altra parte della cornetta si inalbera, minaccia che se non accedo subito alla mia area personale «loro non possono bloccare i prelievi richiesti» e che «la responsabilità sarà mia». La chiamata finisce qui. Appena chiusa, e lasciando un attimo freddare le pizze appena sfornate, provvedo a contattare il servizio clienti della banca. In effetti il numero di Milano è proprio quello da cui ho ricevuto la telefonata: «Riescono a camuffare il loro numero» mi spiega un’addetta dell’assistente e mi conferma che in questo periodo sono molte le segnalazioni di tentate truffe.

Che cos’è il vishing

Truffe vocali e dintorni: come i truffatori clonano la voce per ingannare e sottrarre soldi (e come difendersi)icona play

Gli esperti di sicurezza chiamano questa metodologia vishing, crasi di «voice phishing». Con qualche accortezza in meno, la telefonata sarebbe proseguita: l’obiettivo del truffatore sarebbe stato con tutta probabilità quello di farsi comunicare i codici di accesso al conto. E di lì procedere a svuotarlo. A Milano, con un attacco partito però via Sms, pochi anni fa erano stati messi a segno colpi per decine di migliaia di euro, con 59 mila euro sottratti a una sola vittima.

Caller ID Spoofing: cos’è

La finta telefonata della banca che ti svuota il conto: il «vishing» e le altre truffe vocali (anche con voci clonate dall'AI)icona play

Com’è possibile che sul cellulare risultasse una chiamata da un numero di telefono che, apparentemente, era quello della mia banca? Si chiama caller ID spoofing ed è una tecnica fraudolenta che consiste nel modificare il numero del chiamante fingendo di essere un istituto bancario, un ente di beneficenza o un conoscente che in quel momento non può parlare. Lo scopo è vario: oltre al tentativo che abbiamo subito, che si sarebbe concluso con l’acquisizione di dati personali o con la compromissione del dispositivo, in altre truffe  si tenta di propinare falsi premi di concorsi fasulli, per spingere gli interlocutori a trasferire denaro. Altro caso diffuso è il falso supporto tecnico in cui il chiamante dichiara di appartenere a un’azienda nota (un esempio: Microsoft) e afferma di dover accedere in remoto al computer del destinatario per risolvere un (inesistente) problema.
​Com’è possibile che il truffatore conoscesse non solo il mio numero, ma anche che sono correntista di una certa banca? In molti casi di vishing i criminali non lo sanno ma eseguono attacchi su larga scala, una sorta di pesca a strascico. In altri casi i dati sono ottenuti attraverso social network o forum. In altri casi ancora è colpa di un «data breach», un furto di dati, di cui è stata vittima l’istituto di credito.

Come evitare di cadere vittima del vishing

La cosa più importante da capire è che ricevere una chiamata di vishing non vi rende automaticamente vittime della truffa. È stato esattamente il mio caso. Non perdete quindi il sangue freddo e ricordate che le aziende serie seguono rigorose policy per non chiedere MAI informazioni riservate al telefono.
La chiave è mantenere un sano scetticismo. Non esitate a porre domande insistenti per verificare l’autenticità del chiamante. Un interlocutore legittimo sarà in grado di dissipare i vostri dubbi fornendo dettagli specifici sul vostro conto. Se le risposte sono vaghe o evasive, è un campanello d’allarme.
Non rivelate mai, durante chiamate non richieste:

  • credenziali di accesso,
  • codici OTP,
  • numeri di carte,
  • altre informazioni bancarie.

Piuttosto, siate voi a chiedere conferme, come il motivo preciso della chiamata o dettagli che solo l’azienda dovrebbe conoscere. In caso di perplessità, non esitate ad interrompere la comunicazione.
La parola d’ordine è cautela. Contattate autonomamente i canali ufficiali dell’azienda per verificare la legittimità della richiesta iniziale. Non fidatevi ciecamente di recapiti forniti dal chiamante, potrebbero essere falsi. Imparate a riconoscere i veri protocolli di assistenza di ogni ente, in modo da individuare immediatamente qualsiasi anomalia.
E ricordate, ribadiamo: le aziende affidabili non richiedono mai dati riservati al telefono, se qualcuno insiste per ottenerli, è un chiaro segnale di truffa da cui proteggersi senza perdere tempo.

Sono vittima di vishing: cosa posso fare?

Torino, tenta colpo da 27 mila euro: hackerando una  banca sabotò il bonifico aziendaleicona play

Che cosa fare qualora abbiate involontariamente ceduto informazioni sensibili o permessi di accesso durante una chiamata sospetta? Appena ve ne accorgete, è fondamentale agire con tempestività per contenere i danni.
Il primo passo è avvisare immediatamente la propria banca, che dispone di appositi protocolli per gestire questi casi. Seguite scrupolosamente le loro istruzioni, che tipicamente includono l’invio di eventuali comunicazioni fraudolente ricevute e la modifica urgente di password, codici PIN e altri elementi di autenticazione compromessi.
Parallelamente, può aver senso fare una scansione approfondita con un software antivirus affidabile per rimuovere qualsiasi malware o file malevolo eventualmente installato sul vostro sistema durante l’attacco.
Se riscontrate effettivi danni economici o furti di identità, prendete in considerazione la possibilità di sporgere denuncia presso gli uffici di Polizia più vicini, fornendo loro tutte le prove e le informazioni a vostra disposizione.

Arriva (purtroppo) l’Intelligenza artificiale

Fin qui abbiamo parlato di truffe telefoniche che si appoggiano alla telefonia ma che restano, fondamentalmente, tradizionali. L’Intelligenza Artificiale però sta cambiando lo scenario abbastanza rapidamente. Ha consegnato strumenti accessibili a basso costo e dal facile utilizzo a criminali informatici sempre più creativi. In particolare, a colpire sempre più sono i deepfake, contenuti digitali che ripropongono le sembianze e anche la voce di un individuo e che recita un testo alla cui sceneggiatura, troviamo malintenzionati con scopo l’inganno per estorcere perlopiù denaro o informazioni sensibili. Soluzioni di questo tipo sono già fruibili a poche decine di euro e l’utilizzo attualmente è scarsamente regolato. Serve davvero poco per emulare le sembianze e la voce di una persona. Basta una foto, un breve video e qualche secondo della registrazione della voce da utilizzare come modello per replicare una versione digitale di qualcuno. In alcuni casi, e usando sistemi di «social engineering» evoluti e ben studiati, sono stati messi a segno colpi milionari.

La truffa del Voice Cloning (o truffa vocale)

Deepfake audio, il Garante della Privacy vuole vederci chiaro sul funzionamento di FakeYouicona play

Le nuove truffe tendono a sfruttare come esca la voce di determinate “pedine” per andare a colpire le persone ad esse più vicine. La tecnica di quella che si può definire voice cloning, come molti altri attacchi, tende ad utilizzare tattiche di ingegneria sociale. Come riportato da Il Resto del Carlino, una donna pesarese lo scorso febbraio ha ricevuto un messaggio su WhatsApp da un numero sconosciuto, un vocale con la voce del figlio che chiedeva un aiuto economico per risolvere alcuni guai. Fortunatamente per lei, lo stesso figlio l’ha dissuasa dal procedere con il pagamento, perché quel messaggio, benché contenesse la sua voce, non era partito da lui.
​Messaggi simili, però testuali, in realtà sono frequenti negli ultimi tempi. A tappeto, in molti hanno ricevuto sms in cui veniva richiesto da un parente o dal proprio figlio un aiuto economicoMa la clonazione vocale è sinonimo di un attacco preciso, mirato, che richiede un modico investimento da parte dei truffatori, ma che vede un quadro in cui la potenziale vittima è scelta a priori e non parte di un folto gruppo di persone che si sono viste recapitare un messaggio identico.

Come non cascare nelle truffe con deepfake

Secondo quanto riferito dalla società di sicurezza Check Point, questo tipo di truffe (deepfake) migliorano a ritmo incessante, anche grazie agli strumenti facilmente reperibili online. Basta poco per imitare movenze e la voce di una persona. Basta un video online di almeno 30 secondi affinché i malintenzionati possano utilizzare voce e corpo di una vittima per i propri scopi. Solamente nel 2023, secondo una ricerca di Sumsub Research, gli attacchi deepfake sono aumentati di 10 volte rispetto all’anno precedente: in Nord America, la crescita più alta, pari a +1.740%.
​Esiste un modo per difendersi a tutto questo? In realtà, qualche strategia è attuabile. Difficile mantenere il sangue freddo in determinate situazioni, quando apparentemente è coinvolto qualcuno a cui si vuole bene. Spesso i criminali fanno leva sull’urgenza, ad esempio con messaggi, vocali o non, che informano di un imminente pericolo. Ma come per ogni situazione di pericolo che può essere gestita con un po’ di formazione, allo stesso tempo si possono individuare e gestire questi pericoli che mettono a repentaglio le proprie finanze. Ad esempio usando la tecnica della parola chiave.

Parole chiave

Secondo Scientific American  per difendersi da queste truffe si può inventare una chiave, o una password, di cui sono a conoscenza solamente i membri del nucleo familiare. La scelta andrebbe effettuata di persona e mai condivisa online o altrove. In questo modo, se si ricevono telefonate di cui non si è certi dell’autenticità, si potrà mettere alla prova l’interlocutore sottoponendogli la frase chiave precedentemente stabilita. Ma uno dei redattori della rivista scientifica statunitense è andato anche oltre. Per essere ancora più sicuri, ha condiviso con un membro della famiglia un’app di autenticazione, come può essere ad esempio Authenticator di Google. Per essere sicuro che l’altro per telefono è davvero chi dice di essere, leggono i primi e gli ultimi tre numeri di un codice a sei cifre, che è univoco e cambia di volta in volta. Ma – per i meno tecnologici – ci si può anche raccontare una storia divertente accaduta in passato che solo chi l’ha vissuta può esserne al corrente. L’importante è ogni tanto chiedersi (di persona) se ci si ricorda la frase chiave e ricordarsi di avere l’accortezza di non condividerla con nessuno. Proprio come se fosse una password.

Mostra altro...

Artigos relacionados

Pulsante per tornare all'inizio
Utilizziamo i cookie per migliorare il nostro sito e la vostra esperienza nell'usarlo. I cookie utilizzati per il funzionamento essenziale del sito sono già stati definiti. Leggi di più
Accettare