Il giornalista di Vice Motherboard Joseph Cox ha dimostrato che l’ID vocale utilizzato dalle banche negli Stati Uniti e in Europa non è un modo molto sicuro per accedere a un account. Il sistema è stato ingannato utilizzando una voce sintetizzata dal servizio AI di ElevenLabs.
Cox afferma che le banche negli Stati Uniti e in Europa utilizzano sempre più la verifica vocale in modo che i clienti possano accedere ai propri account tramite telefono. Alcune banche pubblicizzano persino l’identificazione vocale come l’equivalente di un’impronta digitale, sostenendo che è un modo sicuro e conveniente per interagire con una banca.
Tuttavia, l’esperimento del giornalista dimostra che la biometria vocale difficilmente è una protezione affidabile nel mondo moderno, dove chiunque può generare una voce sintetica a basso costo o completamente gratuita.
CVE Enrichment
Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio:
✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor.
✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV).
✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia.
✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
Per la sua esperienza, Cox ha utilizzato un servizio di sintesi vocale gratuito di ElevenLabs.
È interessante notare che i troll hanno precedentemente utilizzato il servizio ElevenLabs per creare deepfake vocali delle voci di Emma Watson, Joe Rogan e altre celebrità, costringendo l’IA a “dire” cose razziste, offensive e crudeli con le loro voci (ad esempio, gli utenti di 4chan ” doppiato” un estratto del Mein Kampf con la voce di Emma Watson).
Di conseguenza, i rappresentanti di ElevenLabs hanno promesso di sviluppare ulteriori misure di sicurezza per la loro piattaforma.
“Potenzialmente chiunque abbia solo pochi minuti della propria voce di pubblico dominio (utenti di YouTube, influencer dei social media, politici, giornalisti) potrebbe essere soggetto a questo tipo di clonazione vocale”, scrive Cox.
Il giornalista ha organizzato il suo esperimento presso la British Lloyds Bank. Il sito Web dell’istituto finanziario afferma che il programma Voice ID è assolutamente sicuro. “La tua voce è come un’impronta digitale e unica”, afferma il sito. – Voice ID analizza oltre 100 diverse caratteristiche della tua voce, che, come la tua impronta digitale, sono uniche. Ad esempio, il modo in cui usi la bocca e le corde vocali, il tuo accento e la velocità con cui parli. “Voice ID ti riconosce anche se hai il raffreddore o il mal di gola”.
Allo stesso tempo, il ricercatore osserva che altre banche offrono servizi simili, tra cui VoicePrin presso TD Bank, Voice ID presso Chase, Voice Verification presso Wells Fargo e così via. Tutti questi sistemi sono ugualmente vulnerabili agli attacchi vocali sintetici, ha affermato Cox, e consentono una varietà di azioni al telefono, tra cui il controllo della cronologia delle transazioni, i saldi dei conti e, in alcuni casi, persino il trasferimento di fondi.
Si noti inoltre che per un tale attacco, il truffatore dovrà conoscere la data di nascita della vittima, tuttavia, a causa delle numerose fughe di dati, è improbabile che questo sia un grosso problema.
“Ho testato diversi servizi di intelligenza artificiale per la generazione della voce. La maggior parte di loro ha dei limiti o ha avuto difficoltà a ricreare il mio accento britannico, necessario per accedere al mio conto alla Lloyds Bank. Ho finito per usare ElevenLabs, che ha fatto un buon lavoro con l’accento. Per sintetizzare la voce, ho registrato circa cinque minuti di discorso e l’ho caricato su ElevenLabs. Presto la voce sintetica era pronta per l’uso e pronunciava qualsiasi testo inserito sul sito web di ElevenLabs”, afferma il giornalista.
Tuttavia, all’inizio, l’accesso al sistema bancario non è riuscito: il sistema della Lloyds Bank ha riferito di non poter autenticare la voce. Dopo aver apportato una serie di modifiche a ElevenLabs, inclusa la lettura di un testo più lungo, l’audio generato è riuscito a bypassare il sistema di sicurezza della banca. Cox ha riprodotto con successo la frase “La mia voce è la mia password” con l’aiuto dell’IA, e poi la stessa AI ha chiesto di controllare il saldo. Come puoi vedere nel video sopra riportato, tutto ha funzionato.
A loro volta, i rappresentanti della Lloyds Bank hanno affermato che “l’identificazione vocale è un’ulteriore misura di sicurezza”, ma la società è fiduciosa che fornisca comunque un livello di protezione più elevato rispetto ai metodi di autenticazione tradizionali.
Lloyds Bank ha spiegato di essere a conoscenza della minaccia delle voci sintetiche, ma finora l’istituto finanziario non ha riscontrato casi in cui tali voci siano state utilizzate per truffare i clienti. Secondo la banca, le voci sintetiche non sono ancora così attraenti per gli aggressori quanto i metodi di frode più semplici e più comuni e l’identificazione vocale ha contribuito a ridurre significativamente il numero di casi di frode bancaria telefonica.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Il 18 novembre 2025, alle 11:20 UTC, una parte significativa dell’infrastruttura globale di Cloudflare ha improvvisamente cessato di instradare correttamente il traffico Internet, mostrando a milion...
Questo è il quinto di una serie di articoli dedicati all’analisi della violenza di genere nel contesto digitale, in coincidenza con la Giornata Internazionale per l’Eliminazione della Violenza co...
18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
La mattinata del 18 novembre 2025 sarà ricordata come uno dei blackout più anomali e diffusi della rete Cloudflare degli ultimi mesi. La CDN – cuore pulsante di milioni di siti web, applicazioni e...
La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
Redazione
