Il giornalista di Vice Motherboard Joseph Cox ha dimostrato che l’ID vocale utilizzato dalle banche negli Stati Uniti e in Europa non è un modo molto sicuro per accedere a un account. Il sistema è stato ingannato utilizzando una voce sintetizzata dal servizio AI di ElevenLabs.
Cox afferma che le banche negli Stati Uniti e in Europa utilizzano sempre più la verifica vocale in modo che i clienti possano accedere ai propri account tramite telefono. Alcune banche pubblicizzano persino l’identificazione vocale come l’equivalente di un’impronta digitale, sostenendo che è un modo sicuro e conveniente per interagire con una banca.
Tuttavia, l’esperimento del giornalista dimostra che la biometria vocale difficilmente è una protezione affidabile nel mondo moderno, dove chiunque può generare una voce sintetica a basso costo o completamente gratuita.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI
Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
Per la sua esperienza, Cox ha utilizzato un servizio di sintesi vocale gratuito di ElevenLabs.
È interessante notare che i troll hanno precedentemente utilizzato il servizio ElevenLabs per creare deepfake vocali delle voci di Emma Watson, Joe Rogan e altre celebrità, costringendo l’IA a “dire” cose razziste, offensive e crudeli con le loro voci (ad esempio, gli utenti di 4chan ” doppiato” un estratto del Mein Kampf con la voce di Emma Watson).
Di conseguenza, i rappresentanti di ElevenLabs hanno promesso di sviluppare ulteriori misure di sicurezza per la loro piattaforma.
“Potenzialmente chiunque abbia solo pochi minuti della propria voce di pubblico dominio (utenti di YouTube, influencer dei social media, politici, giornalisti) potrebbe essere soggetto a questo tipo di clonazione vocale”, scrive Cox.
Il giornalista ha organizzato il suo esperimento presso la British Lloyds Bank. Il sito Web dell’istituto finanziario afferma che il programma Voice ID è assolutamente sicuro. “La tua voce è come un’impronta digitale e unica”, afferma il sito. – Voice ID analizza oltre 100 diverse caratteristiche della tua voce, che, come la tua impronta digitale, sono uniche. Ad esempio, il modo in cui usi la bocca e le corde vocali, il tuo accento e la velocità con cui parli. “Voice ID ti riconosce anche se hai il raffreddore o il mal di gola”.
Allo stesso tempo, il ricercatore osserva che altre banche offrono servizi simili, tra cui VoicePrin presso TD Bank, Voice ID presso Chase, Voice Verification presso Wells Fargo e così via. Tutti questi sistemi sono ugualmente vulnerabili agli attacchi vocali sintetici, ha affermato Cox, e consentono una varietà di azioni al telefono, tra cui il controllo della cronologia delle transazioni, i saldi dei conti e, in alcuni casi, persino il trasferimento di fondi.
Si noti inoltre che per un tale attacco, il truffatore dovrà conoscere la data di nascita della vittima, tuttavia, a causa delle numerose fughe di dati, è improbabile che questo sia un grosso problema.
“Ho testato diversi servizi di intelligenza artificiale per la generazione della voce. La maggior parte di loro ha dei limiti o ha avuto difficoltà a ricreare il mio accento britannico, necessario per accedere al mio conto alla Lloyds Bank. Ho finito per usare ElevenLabs, che ha fatto un buon lavoro con l’accento. Per sintetizzare la voce, ho registrato circa cinque minuti di discorso e l’ho caricato su ElevenLabs. Presto la voce sintetica era pronta per l’uso e pronunciava qualsiasi testo inserito sul sito web di ElevenLabs”, afferma il giornalista.
Tuttavia, all’inizio, l’accesso al sistema bancario non è riuscito: il sistema della Lloyds Bank ha riferito di non poter autenticare la voce. Dopo aver apportato una serie di modifiche a ElevenLabs, inclusa la lettura di un testo più lungo, l’audio generato è riuscito a bypassare il sistema di sicurezza della banca. Cox ha riprodotto con successo la frase “La mia voce è la mia password” con l’aiuto dell’IA, e poi la stessa AI ha chiesto di controllare il saldo. Come puoi vedere nel video sopra riportato, tutto ha funzionato.
A loro volta, i rappresentanti della Lloyds Bank hanno affermato che “l’identificazione vocale è un’ulteriore misura di sicurezza”, ma la società è fiduciosa che fornisca comunque un livello di protezione più elevato rispetto ai metodi di autenticazione tradizionali.
Lloyds Bank ha spiegato di essere a conoscenza della minaccia delle voci sintetiche, ma finora l’istituto finanziario non ha riscontrato casi in cui tali voci siano state utilizzate per truffare i clienti. Secondo la banca, le voci sintetiche non sono ancora così attraenti per gli aggressori quanto i metodi di frode più semplici e più comuni e l’identificazione vocale ha contribuito a ridurre significativamente il numero di casi di frode bancaria telefonica.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Redazione
