09.04.2024 - Al reparto finanziario arriva una richiesta di pagamento apparentemente urgente da parte del capo. Il CEO spiega che se il responsabile finanziario non effettua quanto prima il pagamento, vi saranno gravi conseguenze per l’azienda, pena la perdita di un incarico importante. In seguito, il capo non è stranamente più disponibile per ulteriori chiarimenti. Questo è lo scenario di una tipica truffa del CEO. La maggior parte di questi attacchi non sono molto sofisticati e restano facilmente individuabili. Tuttavia, l’intelligenza artificiale e il deep fake non si fermano a questo tipo di truffa piuttosto semplice, come dimostra un recente esempio riportato all’UFCS.
La classica truffa del CEO
Per preparare la cosiddetta truffa del CEO, di solito i criminali cercano sistematicamente i nomi e gli indirizzi e-mail degli amministratori delegati e dei responsabili finanziari sulle pagine web pubbliche delle aziende. A tal fine si servono perlopiù delle pagine che presentano l’intero team: alcune aziende pubblicano infatti sul proprio sito l’intero organico, con funzione, foto, nome, numero di telefono e indirizzo e-mail. Ciò che è pensato appositamente per il cliente può rivelarsi al tempo stesso una miniera d’oro di dati per i truffatori. L’UFCS ha inoltre osservato che anche i profili LinkedIn vengono sistematicamente passati al setaccio per individuare datori di lavoro e funzioni. Se i criminali trovano ciò che cercano, inviano al reparto finanziario un’e-mail con un finto indirizzo del mittente del CEO che contiene un ordine di pagamento urgente. Nella maggior parte dei casi, si tratta tuttavia di attacchi di massa poco sofisticati. I truffatori non si prendono la briga di rivolgersi in modo specifico alla vittima e di personalizzare accuratamente la richiesta. I testi utilizzati sono infatti poco specifici e per lo più identici.
Truffa del CEO con il deep fake: riunione online con un falso capo
Un caso segnalato all’UFCS la scorsa settimana si distingue tuttavia da questi attacchi di massa. A differenza della procedura abituale, i criminali non hanno cercato di impedire alla vittima di contattare il capo. Al contrario: all’inizio, il responsabile finanziario è stato contattato telefonicamente da un sedicente avvocato e invitato a una videoconferenza con il suo capo di lì a pochi minuti. La vittima ha ricevuto un’e-mail con le credenziali per l’incontro. Quando il responsabile finanziario si è collegato alla riunione online, ha effettivamente potuto vedere il suo capo sullo schermo e parlarci. Durante la conversazione, il presunto capo ha poi cercato di ottenere il numero di cellulare del responsabile finanziario e di convincerlo a effettuare transazioni finanziarie.
In questo caso, i truffatori hanno creato il video del CEO servendosi dell’intelligenza artificiale. Non è chiaro dove i criminali abbiano trovato il materiale di partenza per creare i video falsi. L’UFCS presume tuttavia che per creare questi video deep fake sia stato utilizzato materiale video disponibile pubblicamente. Un’altra possibilità, soprattutto per copiare la voce, è quella di effettuare delle telefonate a monte. Diverse aziende hanno infatti segnalato di aver recentemente ricevuto telefonate da parte di persone sconosciute che chiedevano varie informazioni sull’azienda. Oltre alle informazioni ottenute, utili per attacchi mirati, queste chiamate permetterebbero di copiare la voce registrata del capo utilizzando l’intelligenza artificiale e i deep fake.
Questo episodio dimostra ancora una volta che anche i truffatori stanno cercando di sfruttare l’intelligenza artificiale per i propri scopi, sebbene il suo uso non sia ancora così professionale. Nel caso in questione, la truffa è stata scoperta in tempi relativamente brevi. I truffatori si sono limitati a manipolare solo il volto del capo. L’abbigliamento, ad esempio, non corrispondeva al suo stile, e anche la voce non è stata imitata particolarmente bene.
Misure precauzionali
- Sensibilizzate tutti i collaboratori sulla truffa del CEO! Occorre informare in particolare chi lavora nei reparti finanziari e chi occupa posizioni chiave su questi potenziali metodi di attacco. Nelle associazioni devono essere istruiti tutti i membri che svolgono la funzione di presidente o tesoriere.
- Sensibilizzate i collaboratori sul fatto che gli attacchi mirati possono essere effettuati sfruttando informazioni disponibili pubblicamente.
- Limitate allo stretto necessario le informazioni sul vostro sito web relative all’organico. Ciò vale in particolare anche per i video.
- Non divulgate alcuna informazione interna, né per e-mail né per telefono.
- Siate prudenti con le richieste di pagamento: non date seguito a ordini di pagamento insoliti.
- Tutti i processi che riguardano il traffico dei pagamenti dovrebbero essere disciplinati in modo chiaro all’interno dell’azienda e sempre rispettati da tutto il personale (ad es. principio del doppio controllo, firma collettiva a due).
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 09.04.2024
