Il giornalista di Vice Motherboard Joseph Cox ha dimostrato che l’ID vocale utilizzato dalle banche negli Stati Uniti e in Europa non è un modo molto sicuro per accedere a un account. Il sistema è stato ingannato utilizzando una voce sintetizzata dal servizio AI di ElevenLabs.
Cox afferma che le banche negli Stati Uniti e in Europa utilizzano sempre più la verifica vocale in modo che i clienti possano accedere ai propri account tramite telefono. Alcune banche pubblicizzano persino l’identificazione vocale come l’equivalente di un’impronta digitale, sostenendo che è un modo sicuro e conveniente per interagire con una banca.
Tuttavia, l’esperimento del giornalista dimostra che la biometria vocale difficilmente è una protezione affidabile nel mondo moderno, dove chiunque può generare una voce sintetica a basso costo o completamente gratuita.
Avvio delle iscrizioni al corso Cyber Offensive Fundamentals
Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica?
La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima.
Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
Per la sua esperienza, Cox ha utilizzato un servizio di sintesi vocale gratuito di ElevenLabs.
È interessante notare che i troll hanno precedentemente utilizzato il servizio ElevenLabs per creare deepfake vocali delle voci di Emma Watson, Joe Rogan e altre celebrità, costringendo l’IA a “dire” cose razziste, offensive e crudeli con le loro voci (ad esempio, gli utenti di 4chan ” doppiato” un estratto del Mein Kampf con la voce di Emma Watson).
Di conseguenza, i rappresentanti di ElevenLabs hanno promesso di sviluppare ulteriori misure di sicurezza per la loro piattaforma.
“Potenzialmente chiunque abbia solo pochi minuti della propria voce di pubblico dominio (utenti di YouTube, influencer dei social media, politici, giornalisti) potrebbe essere soggetto a questo tipo di clonazione vocale”, scrive Cox.
Il giornalista ha organizzato il suo esperimento presso la British Lloyds Bank. Il sito Web dell’istituto finanziario afferma che il programma Voice ID è assolutamente sicuro. “La tua voce è come un’impronta digitale e unica”, afferma il sito. – Voice ID analizza oltre 100 diverse caratteristiche della tua voce, che, come la tua impronta digitale, sono uniche. Ad esempio, il modo in cui usi la bocca e le corde vocali, il tuo accento e la velocità con cui parli. “Voice ID ti riconosce anche se hai il raffreddore o il mal di gola”.
Allo stesso tempo, il ricercatore osserva che altre banche offrono servizi simili, tra cui VoicePrin presso TD Bank, Voice ID presso Chase, Voice Verification presso Wells Fargo e così via. Tutti questi sistemi sono ugualmente vulnerabili agli attacchi vocali sintetici, ha affermato Cox, e consentono una varietà di azioni al telefono, tra cui il controllo della cronologia delle transazioni, i saldi dei conti e, in alcuni casi, persino il trasferimento di fondi.
Si noti inoltre che per un tale attacco, il truffatore dovrà conoscere la data di nascita della vittima, tuttavia, a causa delle numerose fughe di dati, è improbabile che questo sia un grosso problema.
“Ho testato diversi servizi di intelligenza artificiale per la generazione della voce. La maggior parte di loro ha dei limiti o ha avuto difficoltà a ricreare il mio accento britannico, necessario per accedere al mio conto alla Lloyds Bank. Ho finito per usare ElevenLabs, che ha fatto un buon lavoro con l’accento. Per sintetizzare la voce, ho registrato circa cinque minuti di discorso e l’ho caricato su ElevenLabs. Presto la voce sintetica era pronta per l’uso e pronunciava qualsiasi testo inserito sul sito web di ElevenLabs”, afferma il giornalista.
Tuttavia, all’inizio, l’accesso al sistema bancario non è riuscito: il sistema della Lloyds Bank ha riferito di non poter autenticare la voce. Dopo aver apportato una serie di modifiche a ElevenLabs, inclusa la lettura di un testo più lungo, l’audio generato è riuscito a bypassare il sistema di sicurezza della banca. Cox ha riprodotto con successo la frase “La mia voce è la mia password” con l’aiuto dell’IA, e poi la stessa AI ha chiesto di controllare il saldo. Come puoi vedere nel video sopra riportato, tutto ha funzionato.
A loro volta, i rappresentanti della Lloyds Bank hanno affermato che “l’identificazione vocale è un’ulteriore misura di sicurezza”, ma la società è fiduciosa che fornisca comunque un livello di protezione più elevato rispetto ai metodi di autenticazione tradizionali.
Lloyds Bank ha spiegato di essere a conoscenza della minaccia delle voci sintetiche, ma finora l’istituto finanziario non ha riscontrato casi in cui tali voci siano state utilizzate per truffare i clienti. Secondo la banca, le voci sintetiche non sono ancora così attraenti per gli aggressori quanto i metodi di frode più semplici e più comuni e l’identificazione vocale ha contribuito a ridurre significativamente il numero di casi di frode bancaria telefonica.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
La storia di Ilya Lichtenstein, l’hacker responsabile di uno degli attacchi informatici più grandi mai compiuti contro le criptovalute, appare come un episodio di una serie TV, eppure è assolutamente reale. Dopo essere stato rilasciato,…
Se c’erano ancora dubbi sul fatto che le principali aziende mondiali di intelligenza artificiale fossero d’accordo sulla direzione dell’IA, o sulla velocità con cui dovrebbe arrivarci, questi dubbi sono stati dissipati al World Economic Forum…
Una settimana fa, il CEO di Cursor, Michael Truell, ha annunciato un risultato presumibilmente straordinario. Ha affermato che, utilizzando GPT-5.2, Cursor ha creato un browser in grado di funzionare ininterrottamente per un’intera settimana. Questo browser…
L’Italia si conferma uno degli obiettivi principali della campagna di attacchi DDoS portata avanti dal gruppo hacktivista NoName057(16). Secondo quanto dichiarato direttamente dal collettivo, il nostro Paese ha subito 487 attacchi informatici tra ottobre 2024…
La domanda ritorna ciclicamente da oltre dieci anni: uno smartphone può davvero sostituire un computer? Nel tempo, l’industria ha provato più volte a dare una risposta concreta, senza mai arrivare a una soluzione definitiva. Dai…
