Sicurezza: se anche la voce contraffatta finisce con il fare danni

Alcuni scammer hanno ricreato la voce di un CEO per indurre il capo di una filiale a trasferire denaro su conti poco trasparenti. È anche questa la nuova frontiera della cyber-criminalità?

sicurezza

È il Wall Street Journal a riportare la notizia di alcuni scammer che hanno ricreato la voce di un CEO per indurre il capo di una filiale a trasferire denaro su conti poco trasparenti. I dettagli dell’attacco sono sconosciuti, ma il quotidiano americano, citando la compagnia di assicurazioni Euler Hermes Group SA, descrive l’incidente come segue:

  • Rispondendo a una telefonata, il CEO di un’azienda del settore energetico con sede nel Regno Unito è convinto di parlare con il suo capo, l’amministratore delegato della società madre tedesca dell’azienda, che gli chiede di inviare 220.000 euro a un fornitore ungherese (fittizio, come si è poi scoperto) entro un’ora
  • Il direttore generale inglese trasferisce l’importo richiesto
  • I cybercriminali richiamano per avvisare del fatto che la società madre ha trasferito dei soldi per rimborsare la società britannica
  • Più tardi effettuano una seconda telefonata, impersonando di nuovo l’amministratore delegato e richiedendo un secondo pagamento
  • Poiché il bonifico che rimborsava i fondi non era ancora arrivato e la terza chiamata proveniva da un numero di telefono austriaco, non tedesco, l’amministratore delegato si insospettisce e non effettua il secondo pagamento

A fornire un approfondimento su questo attacco, che sembra essere uscito da un action-thriller spionistico (e anche un po’ futuristico), è Kaspersky Lab, secondo cui gli assicuratori stanno considerando due possibilità. O gli aggressori hanno setacciato un gran numero di registrazioni del CEO e assemblato manualmente i messaggi vocali, o (più probabilmente) hanno elaborato un algoritmo di apprendimento automatico basato sulle registrazioni.

Il primo metodo è molto dispendioso in termini di tempo e anche inaffidabile; è estremamente difficile infatti assemblare una frase coesiva da parole separate senza che sembri discordante. Secondo la vittima britannica inoltre il discorso era assolutamente normale, con un timbro chiaramente riconoscibile e un leggero accento tedesco. Il principale sospetto è quindi l’intelligenza artificiale. Ma il successo dell’attacco è stato dovuto non tanto all’uso di nuove tecnologie, quanto per la capacità di distorsione cognitiva, che in questo caso può essere definita sottomissione all’autorità.

tecnologie vocali

Gli psicologi sociali hanno condotto molti esperimenti che dimostrano che anche le persone più intelligenti ed esperte sono inclini ad obbedire all’autorità in maniera incondizionata, anche se ciò va contro le convinzioni personali, il buonsenso o questioni di sicurezza. Anche lo psicologo Stanley Milgram ha spiegato l’indiscussa obbedienza all’autorità utilizzando la teoria della soggettività, la cui essenza è che, se le persone percepiscono sé stesse come strumenti per soddisfare le volontà altrui, non si sentono responsabili delle proprie azioni.

Che cosa fare?

Non potete sapere con certezza con chi state parlando al telefono, soprattutto se si tratta di un personaggio pubblico e le registrazioni della sua voce sono disponibili al pubblico. Oggi come oggi è raro che certe situazioni si verifichino ma, con l’avanzamento della tecnologia, questi incidenti diventeranno più frequenti.

Seguendo incontestabilmente certe istruzioni, potreste stare agli ordini di criminali informatici. È normale obbedire al capo, naturalmente, ma è anche fondamentale mettere in discussione decisioni manageriali strane o illogiche. Possiamo solo consigliare di dissuadere i dipendenti dal seguire istruzioni alla cieca. Cercate di non dare ordini senza spiegarne i motivi; in questo modo, è più probabile che un dipendente si interroghi su un ordine insolito se non c’è una giustificazione apparente.

Da un punto di vista tecnico Kaspersky Lab raccomanda di elaborare una procedura chiara per il trasferimento di fondi, in modo che anche i dipendenti di alto livello non possano spostare denaro al di fuori dell’azienda senza supervisione. I trasferimenti di somme ingenti devono inoltre essere autorizzati da più manager
Bisogna infine formare i dipendenti affinché apprendano i princìpi base della sicurezza informatica, e insegnare loro a eseguire gli ordini in arrivo con un sano pizzico di scetticismo.