Il giornalista di Vice Motherboard Joseph Cox ha dimostrato che l’ID vocale utilizzato dalle banche negli Stati Uniti e in Europa non è un modo molto sicuro per accedere a un account. Il sistema è stato ingannato utilizzando una voce sintetizzata dal servizio AI di ElevenLabs.
Cox afferma che le banche negli Stati Uniti e in Europa utilizzano sempre più la verifica vocale in modo che i clienti possano accedere ai propri account tramite telefono. Alcune banche pubblicizzano persino l’identificazione vocale come l’equivalente di un’impronta digitale, sostenendo che è un modo sicuro e conveniente per interagire con una banca.
Tuttavia, l’esperimento del giornalista dimostra che la biometria vocale difficilmente è una protezione affidabile nel mondo moderno, dove chiunque può generare una voce sintetica a basso costo o completamente gratuita.
CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
Per la sua esperienza, Cox ha utilizzato un servizio di sintesi vocale gratuito di ElevenLabs.
È interessante notare che i troll hanno precedentemente utilizzato il servizio ElevenLabs per creare deepfake vocali delle voci di Emma Watson, Joe Rogan e altre celebrità, costringendo l’IA a “dire” cose razziste, offensive e crudeli con le loro voci (ad esempio, gli utenti di 4chan ” doppiato” un estratto del Mein Kampf con la voce di Emma Watson).
Di conseguenza, i rappresentanti di ElevenLabs hanno promesso di sviluppare ulteriori misure di sicurezza per la loro piattaforma.
“Potenzialmente chiunque abbia solo pochi minuti della propria voce di pubblico dominio (utenti di YouTube, influencer dei social media, politici, giornalisti) potrebbe essere soggetto a questo tipo di clonazione vocale”, scrive Cox.
Il giornalista ha organizzato il suo esperimento presso la British Lloyds Bank. Il sito Web dell’istituto finanziario afferma che il programma Voice ID è assolutamente sicuro. “La tua voce è come un’impronta digitale e unica”, afferma il sito. – Voice ID analizza oltre 100 diverse caratteristiche della tua voce, che, come la tua impronta digitale, sono uniche. Ad esempio, il modo in cui usi la bocca e le corde vocali, il tuo accento e la velocità con cui parli. “Voice ID ti riconosce anche se hai il raffreddore o il mal di gola”.
Allo stesso tempo, il ricercatore osserva che altre banche offrono servizi simili, tra cui VoicePrin presso TD Bank, Voice ID presso Chase, Voice Verification presso Wells Fargo e così via. Tutti questi sistemi sono ugualmente vulnerabili agli attacchi vocali sintetici, ha affermato Cox, e consentono una varietà di azioni al telefono, tra cui il controllo della cronologia delle transazioni, i saldi dei conti e, in alcuni casi, persino il trasferimento di fondi.
Si noti inoltre che per un tale attacco, il truffatore dovrà conoscere la data di nascita della vittima, tuttavia, a causa delle numerose fughe di dati, è improbabile che questo sia un grosso problema.
“Ho testato diversi servizi di intelligenza artificiale per la generazione della voce. La maggior parte di loro ha dei limiti o ha avuto difficoltà a ricreare il mio accento britannico, necessario per accedere al mio conto alla Lloyds Bank. Ho finito per usare ElevenLabs, che ha fatto un buon lavoro con l’accento. Per sintetizzare la voce, ho registrato circa cinque minuti di discorso e l’ho caricato su ElevenLabs. Presto la voce sintetica era pronta per l’uso e pronunciava qualsiasi testo inserito sul sito web di ElevenLabs”, afferma il giornalista.
Tuttavia, all’inizio, l’accesso al sistema bancario non è riuscito: il sistema della Lloyds Bank ha riferito di non poter autenticare la voce. Dopo aver apportato una serie di modifiche a ElevenLabs, inclusa la lettura di un testo più lungo, l’audio generato è riuscito a bypassare il sistema di sicurezza della banca. Cox ha riprodotto con successo la frase “La mia voce è la mia password” con l’aiuto dell’IA, e poi la stessa AI ha chiesto di controllare il saldo. Come puoi vedere nel video sopra riportato, tutto ha funzionato.
A loro volta, i rappresentanti della Lloyds Bank hanno affermato che “l’identificazione vocale è un’ulteriore misura di sicurezza”, ma la società è fiduciosa che fornisca comunque un livello di protezione più elevato rispetto ai metodi di autenticazione tradizionali.
Lloyds Bank ha spiegato di essere a conoscenza della minaccia delle voci sintetiche, ma finora l’istituto finanziario non ha riscontrato casi in cui tali voci siano state utilizzate per truffare i clienti. Secondo la banca, le voci sintetiche non sono ancora così attraenti per gli aggressori quanto i metodi di frode più semplici e più comuni e l’identificazione vocale ha contribuito a ridurre significativamente il numero di casi di frode bancaria telefonica.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...
Redazione
