23 Ago 2017

Le truffe telefoniche tecnologicamente avanzate

Sicurezza

I lettori di questo blog avranno già familiarità con le truffe telefoniche, probabilmente avete persino ricevuto una o due chiamate sospette. Ma non accettate offerte da estranei o rilasciate informazioni personali quando parlate con loro, quindi sarete a posto, giusto?

Risulta che la risposta è no, non proprio. Non molto tempo fa, la Commissione Federale delle Comunicazioni (FCC: Federal Communication Commission) ha pubblicato un avviso riguardo a un’insolita truffa telefonica. I truffatori chiamano le loro vittime e fanno una domanda apparentemente innocua: “Puoi sentirmi?”. La risposta “Sì” è tutto ciò di cui hanno bisogno. Replicare una risposta affermativa registrata gli consente di fare sottoscrivere alle proprie vittime servizi a pagamento, che saranno inclusi nella loro bolletta telefonica.

Il tipo di truffa i cui i servizi aggiuntivi vengono inclusi nella bolletta di un abbonato senza il suo consenso (ad esempio, i messaggi quotidiani con oroscopi o notizie) viene chiamato cramming.

Prendiamo in considerazione diversi punti allarmanti riguardo questo tipo di truffa. Com’è che il cramming sia anche solo possibile? Perché i funzionari delle forze dell’ordine non possono fare qualcosa a riguardo? È davvero possibile utilizzare una registrazione vocale per abbonare qualcuno a servizi aggiuntivi?

Tecnicamente, il cramming è possibile perché le compagnie telefoniche consentono l’inclusione di servizi di terze parti nelle bollette degli abbonati.

Lo stratagemma in sé non è così nuovo: 800Notes.com, un sito web che elenca numeri telefonici sospetti, ha informato gli utenti già dal 2008. A quei tempi, il trucco era stato utilizzato per imporre servizi alle aziende. Secondo coloro che hanno abboccato, le registrazioni audio sono state modificate in modo da far sembrare che le vittime fossero d’accordo ad aggiungere servizi a pagamento.

Le autorità stanno cercando di combattere il cramming. Pertanto, nel 2015, il FCC ha obbligato i colossi delle telecomunicazioni Verizon e Sprint a pagare 158 milioni di dollari per ripagare le richieste di risarcimento dei clienti a cui erano stati rifilati i servizi. Tuttavia, le tecniche di frode come il cramming potrebbero invece evolversi con lo sviluppo delle tecnologie moderne.

Voice banking

Con la crescente popolarità dell’autenticazione vocale, in un futuro molto prossimo qualcosa di simile al cramming potrebbe diventare un problema nel settore bancario. Ad esempio, una delle banche più grandi del Regno Unito, Barclays, nel 2016 ha introdotto l’autenticazione vocale per tutti i suoi clienti privati.

Anche la società finanziaria globale HSBC consente ai propri clienti di avvalersi dell’autenticazione vocale anziché utilizzare una password. I clienti chiamano la banca, autenticarsi usando una parola in codice e dire ad alta voce, “La mia voce è la mia password”.

HBSC sostiene che il sistema è protetto contro i tentativi di bypassarlo con le registrazioni vocali dei clienti. Presumibilmente, la tecnologia Voice Biometrics crea un’impronta vocale che riconosce le sfumature fisiche e comportamentali del discorso di una persona.

Inoltre, gli scammer telefonici dovrebbero trovare un modo per far sì che il cliente della banca dica l’intera frase segreta. Sembra quasi impossibile; tuttavia, essi possono tentare di far parlare il cliente e tirare fuori le parole di cui hanno bisogno una ad una, nell’arco di diverse telefonate.

Ogni volta che qualcuno inventa un modo per ingannare la gente, qualcun altro cercherà un modo per evitare di essere imbrogliato. Per esempio, Pindrop ha creato una tecnologia che considera una serie di fattori, incluso la geolocalizzazione, da tenere in conto quando si valuta l’autenticità di un utente in remoto. Una chiamata dalla parte sbagliata del pianeta, ad esempio, avvertirà il sistema. Le banche utilizzano questo tipo di tecnologia anche per evitare le frodi.

Un altro segnale di allarme (anche se non un segnale sicuro) è il canale di comunicazione scelto. Secondo le statistiche di Pindrop, gli scammer utilizzano VoIP nel 53% dei casi, mentre per i clienti veri la proporzione è piuttosto diversa, infatti solo il 7% utilizza VoIP per contattare la propria banca. Per questo motivo il sistema nota automaticamente le chiamate VoIP.

Naturalmente i truffatori adottano contromisure, ad esempio simulando una connessione di scarsa qualità che teoricamente rende più difficile per il sistema identificare chi sta effettuando la chiamata. Chiaramente, gli scammer telefonici espanderanno presto i loro arsenali con nuovi e potenti strumenti.

Non dire niente

Il progetto VoCo, definito come il “Photoshop-per-la-voce”, è stato presentato alla conferenza Adobe MAX nel 2016.

Dopo aver analizzato un frammento di discorso, il sistema genera un campione della voce di quella persona, incluse parole pronunciate che non erano nella registrazione di origine. L’invenzione, secondo i report della BBC, ha suscitato preoccupazione tra gli esperti di sicurezza delle informazioni. VoCo, proprio come il suo antenato grafico, potrebbe diventare uno strumento per compromettere le persone o un metodo per bypassare i sistemi di autenticazione vocale.

Adobe non è l’unico. Google ha annunciato il proprio progetto per la sintesi vocale realistica nel 2016 e una startup con sede in Canada, chiamata Lyrebird, ha annunciato la sua tecnologia per la speech generation nell’aprile 2017. Una registrazione vocale di 1 minuto è sufficiente per permettere al sistema di dire frasi casuali con la voce di una persona che è stata registrata (potete ascoltare una discussione sintetizzata tra politici americani qui). Anche i programmatori hanno ammesso che la capacità di sintetizzare il discorso è potenzialmente pericolosa, soprattutto per le persone di spicco in campo politico.

I fondatori di Lyrebird hanno risolto il problema etico della loro tecnologia con la seguente dichiarazione: “Speriamo che tutti saranno presto a conoscenza che tale tecnologia esiste e che la copia della voce di qualcun altro è possibile”.

Come gestire tutto questo 

  1. Le specifiche dell’attacco in cui una vittima è persuasa a dire solo una parola (“sì”) richiedono una soluzione radicale. Il FCC raccomanda di non rispondere affatto alle chiamate da numeri sconosciuti. Se qualcuno vuole veramente contattarvi, lascerà un messaggio.
  2. Non rivelare mai i dati personali.
  3. Controllare sempre tutte le fatture e le bollette per elementi inaspettati.
  4. Un metodo individuale, che offre una certa protezione contro alcune truffe telefoniche , è quello di inserire le vostre informazioni di contatto sul registro nazionale dei numeri che i venditori telefonici devono escludere dai loro elenchi. Naturalmente, questa è un’opzione valida solo per i paesi che dispongono di tali registri, come gli Stati Uniti, per esempio. Nell’Unione Europea è un po’ più complicato: non esiste un registro europeo generale, anche se ci sono liste nazionali di nominativi da non chiamare (do-not-call list).