Il giornalista di Vice Motherboard Joseph Cox ha dimostrato che l’ID vocale utilizzato dalle banche negli Stati Uniti e in Europa non è un modo molto sicuro per accedere a un account. Il sistema è stato ingannato utilizzando una voce sintetizzata dal servizio AI di ElevenLabs.
Cox afferma che le banche negli Stati Uniti e in Europa utilizzano sempre più la verifica vocale in modo che i clienti possano accedere ai propri account tramite telefono. Alcune banche pubblicizzano persino l’identificazione vocale come l’equivalente di un’impronta digitale, sostenendo che è un modo sicuro e conveniente per interagire con una banca.
Tuttavia, l’esperimento del giornalista dimostra che la biometria vocale difficilmente è una protezione affidabile nel mondo moderno, dove chiunque può generare una voce sintetica a basso costo o completamente gratuita.
Per la sua esperienza, Cox ha utilizzato un servizio di sintesi vocale gratuito di ElevenLabs.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
È interessante notare che i troll hanno precedentemente utilizzato il servizio ElevenLabs per creare deepfake vocali delle voci di Emma Watson, Joe Rogan e altre celebrità, costringendo l’IA a “dire” cose razziste, offensive e crudeli con le loro voci (ad esempio, gli utenti di 4chan ” doppiato” un estratto del Mein Kampf con la voce di Emma Watson).
Di conseguenza, i rappresentanti di ElevenLabs hanno promesso di sviluppare ulteriori misure di sicurezza per la loro piattaforma.
“Potenzialmente chiunque abbia solo pochi minuti della propria voce di pubblico dominio (utenti di YouTube, influencer dei social media, politici, giornalisti) potrebbe essere soggetto a questo tipo di clonazione vocale”, scrive Cox.
Il giornalista ha organizzato il suo esperimento presso la British Lloyds Bank. Il sito Web dell’istituto finanziario afferma che il programma Voice ID è assolutamente sicuro. “La tua voce è come un’impronta digitale e unica”, afferma il sito. – Voice ID analizza oltre 100 diverse caratteristiche della tua voce, che, come la tua impronta digitale, sono uniche. Ad esempio, il modo in cui usi la bocca e le corde vocali, il tuo accento e la velocità con cui parli. “Voice ID ti riconosce anche se hai il raffreddore o il mal di gola”.
Allo stesso tempo, il ricercatore osserva che altre banche offrono servizi simili, tra cui VoicePrin presso TD Bank, Voice ID presso Chase, Voice Verification presso Wells Fargo e così via. Tutti questi sistemi sono ugualmente vulnerabili agli attacchi vocali sintetici, ha affermato Cox, e consentono una varietà di azioni al telefono, tra cui il controllo della cronologia delle transazioni, i saldi dei conti e, in alcuni casi, persino il trasferimento di fondi.
Si noti inoltre che per un tale attacco, il truffatore dovrà conoscere la data di nascita della vittima, tuttavia, a causa delle numerose fughe di dati, è improbabile che questo sia un grosso problema.
“Ho testato diversi servizi di intelligenza artificiale per la generazione della voce. La maggior parte di loro ha dei limiti o ha avuto difficoltà a ricreare il mio accento britannico, necessario per accedere al mio conto alla Lloyds Bank. Ho finito per usare ElevenLabs, che ha fatto un buon lavoro con l’accento. Per sintetizzare la voce, ho registrato circa cinque minuti di discorso e l’ho caricato su ElevenLabs. Presto la voce sintetica era pronta per l’uso e pronunciava qualsiasi testo inserito sul sito web di ElevenLabs”, afferma il giornalista.
Tuttavia, all’inizio, l’accesso al sistema bancario non è riuscito: il sistema della Lloyds Bank ha riferito di non poter autenticare la voce. Dopo aver apportato una serie di modifiche a ElevenLabs, inclusa la lettura di un testo più lungo, l’audio generato è riuscito a bypassare il sistema di sicurezza della banca. Cox ha riprodotto con successo la frase “La mia voce è la mia password” con l’aiuto dell’IA, e poi la stessa AI ha chiesto di controllare il saldo. Come puoi vedere nel video sopra riportato, tutto ha funzionato.
A loro volta, i rappresentanti della Lloyds Bank hanno affermato che “l’identificazione vocale è un’ulteriore misura di sicurezza”, ma la società è fiduciosa che fornisca comunque un livello di protezione più elevato rispetto ai metodi di autenticazione tradizionali.
Lloyds Bank ha spiegato di essere a conoscenza della minaccia delle voci sintetiche, ma finora l’istituto finanziario non ha riscontrato casi in cui tali voci siano state utilizzate per truffare i clienti. Secondo la banca, le voci sintetiche non sono ancora così attraenti per gli aggressori quanto i metodi di frode più semplici e più comuni e l’identificazione vocale ha contribuito a ridurre significativamente il numero di casi di frode bancaria telefonica.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...
Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...
In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...
“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...
Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...
Redazione
