Un deepfake da 25 milioni di dollari

Lo spazio dei curiosi di futuro

Un deepfake da 25 milioni di dollari

Quando si dice che la realtà supera la fantasia. E’ stata una vera e propria innovativa “rapina” finanziaria che ha utilizzato la tecnologia deepfake, quella che ha colpito un’azienda di Hong Kong. Il nome della vittima non è stato diffuso, ma l’azienda ha subito una sofisticata truffa che ha portato al furto dello sbalorditivo importo di 25,6 milioni di dollari. La truffa ha coinvolto versioni ricreate digitalmente di dipendenti dell’azienda, tra cui il direttore finanziario, che sono apparsi in una videoconferenza per dare istruzioni a un dipendente di trasferire fondi.

LA TRUFFA

La truffa è stata avviata attraverso quello che il povero dipendente ha individuato come un potenziale tentativo di phishing. Ha ricevuto un messaggio email che sembrava provenire dal CFO dell’azienda con sede nel Regno Unito, con l’istruzione di eseguire una transazione “segreta”.

Nonostante i sacrosanti sospetti iniziali, il dipendente si è lasciato convincere dalla presenza di volti familiari nella videochiamata di conferma, portando al trasferimento di fondi. Peccato che i presenti dall’altra parte dello schermo fossero tutti finti. L’uso della tecnologia deepfake ha permesso ai truffatori di replicare in modo convincente le sembianze e le voci di persone realmente esistenti in azienda.

La polizia di Hong Kong ha sottolineato la novità della truffa, notando che si tratta del primo caso in cui le vittime sono state ingannate in una videoconferenza tra più persone. Questo incidente rappresenta la prima grande truffa finanziaria legata ai deepfake a Hong Kong. E mette in evidenza le sfide poste dai video e dalle registrazioni audio false generate dall’intelligenza artificiale.

Le autorità sono sempre più preoccupate per il potenziale dannoso della tecnologia deepfake, come dimostrano episodi quali la diffusione di immagini pornografiche generate dall’intelligenza artificiale della pop star Taylor Swift o della voce di Biden che invitava telefonicamente ignari elettori a non votare alla primarie Repubblicane del loro Stato di residenza.

Ora, il mio mestiere è proprio quello del CFO e parlo per esperienza diretta, anch’io in passato ho subito tentativi di estorsione tecnologici, ma allora si trattava di “banali” email. Cosa fare?

CONTROMISURE

Prima di tutto, il trasferimento di fondi deve essere comunicato e autorizzato sempre per iscritto e mettendo in copia altre persone dell’organizzazione. Falsificare un indirizzo email è facile, falsificare molti indirizzi delle persone giuste, che devono essere in copia sul tema, è quanto meno più laborioso.

In questa truffa, pare che per aggirare i limiti individuali di pagamento in capo all’ignaro dipendente, gli sia stato richiesto di spezzettare l’intero ammontare in 15 transazioni separate. Questo è quasi sempre un indicatore di truffa. Salterebbe all’occhio anche degli auditor. Il sistema bancario dovrebbe essere impostato su un limite quotidiano, non solo sulla singola transazione.

L’ideale sarebbe sempre avere due firme. Capisco che per spese di importi contenuti è una rottura di scatole, ma se le 15 transazioni superavano il limite del dipendente, il totale non era più un importo banale.

E’ opportuno attivare dei sistemi di avviso di tutte le transazioni appena approvate, che devono arrivare ad altre persone nell’organizzazione. Se il CFO (reale) avesse visto comparire 15 avvisi di pagamento di uguale importo sul suo smartphone si sarebbe insospettito subito, non dopo una settimana.

Si dovrebbero codificare in anticipo i conti correnti e gli IBAN sui quali si è autorizzati a pagare. Uno dovrebbe “creare” il fornitore in Banca, l’altro dovrebbe effettuare i pagamenti. Non si paga su alcun conto che non sia stato autorizzato da qualcuno. I truffatori qui hanno chiesto alla vittima di pagare gli importi su 15 conti diversi… tutti nuovi e ovviamente mai usati prima dall’azienda.

Last but not least, anche i sistemi di videoconferenza aziendale dovrebbero essere accessibili solo da utenti riconosciuti e che entrano in call con adeguate user e password. Con solo questa accortezza la call incriminata non sarebbe mai avvenuta.


APPROFONDIMENTI

Finance worker pays out $25 million after video call with deepfake ‘chief financial officer’ | CNN

Deepfake scammer walks off with $25 million in first-of-its-kind AI heist | Ars Technica


I LIBRI DI THE FUTURE OF

“Next” è un’entusiasmante antologia che esplora le tecnologie emergenti, le scoperte scientifiche e le visioni che plasmeranno il nostro prossimo decennio. Frutto della raccolta degli scritti dell’autore dall’autunno del 2022 all’intero anno 2023, il libro offre una prospettiva unica sulle tendenze tecnologiche che potrebbero definire il nostro futuro.
Il titolo “Next” è scelto con attenzione, riflettendo l’idea che le tecnologie e i fenomeni discussi nel libro potrebbero rivelare il loro pieno potenziale nel corso del prossimo decennio. L’autore, con uno sguardo critico e senza inutili hype, esplora tematiche che vanno dalla crionica alle interfacce cervello-computer, dal futuro del volo all’inseminazione delle nuvole per far piovere, dall’agricoltura di precisione al cibo stampato in 3D, e davvero molto altro ancora.
Un punto di forza del libro è l’attenzione dedicata a tecnologie di nicchia e argomenti meno mainstream, rendendo la lettura un’esperienza avvincente e informativa. Attraverso numerosi esempi di persone, startup, applicazioni e progetti concreti, l’autore illustra come le visioni del futuro si stiano già realizzando in vari settori. Il libro non è una mera speculazione filosofica, ma un racconto avvincente di come le cose stiano accadendo ora, sottolineando che il futuro è già qui.