La multinazionale di design e ingegneria Arup, con sede centrale a Londra, ha confermato si essere stata vittima di una truffa deepfake. Nonostante i sospetti su un’e-mail di phishing, l’aspetto realistico e le voci dei suoi presunti colleghi hanno indotto il professionista a procedere con le transazioni.
I deepfake sono una preoccupazione emergente per le organizzazioni di tutto il mondo. L’ultima ad essere stato colpita, in ordine di tempo, è la società di design e ingegneria britannica Arup, che – come riporta The Guardian – conferma di essere stata al centro di una truffa deepfake. Nello specifico, un dipendente ha trasferito 200 milioni di dollari di Hong Kong (25,6 milioni di dollari) a cybercriminali attraverso una videochiamata generata dall’intelligenza artificiale. L’operazione è avvenuta in più fasi.
Il professionista è stato ingannato a partecipare alla videocall con persone che riteneva fossero il direttore finanziario e altri componenti dello staff (tutte riproduzioni deepfake). Una vera e propria frode, di cui Arup – multinazionale di design e ingegneria conosciuta per progetti iconici, come la Sydney Opera House di Australia – ha subito informato le forze dell’ordine.
La società di consulenza ingegneristica leader a livello globale – che impiega oltre 18mila persone – auspica ora che la propria (negativa) esperienza possa, in qualche modo, incrementare la consapevolezza dell’aumento delle truffe con i deepfake. Rob Greig, chief information officer di Arup, ha ammesso che l’azienda subisce regolarmente attacchi informatici (“come molte altre realtà nel mondo, le nostre operazioni sono soggette a cyberattacchi regolari, tra cui frodi sulle fatture, e-mail di phishing, spoofing della voce”).
Deepfake audio, la nuova frontiera delle truffe
Di recente – come spiega sempre The Guardian – Mark Read, il Ceo del colosso pubblicitario WPP (Wire and Plastic Product) è stato vittima di un tentativo di frode sofisticato che ha visto l’uso di una voce creata tramite l’AI. Read ha condiviso l’episodio attraverso una e-mail inviata ai dirigenti dell’azienda, sollevando una chiamata alla vigilanza nei confronti di chiamate fake che si spacciano per comunicazioni da alti esecutivi.
In questo caso, i cybercriminali hanno messo in scena un incontro su Microsoft Teams, sfruttando un account WhatsApp corredato da una foto pubblica di Read. Durante la riunione, i criminali sono riusciti ad imitare la voce dell’esecutivo, utilizzando frame di video tratti da YouTube, mantenendo l’impostore fuoricampo e comunicando mediante la chat. La truffa ha preso di mira un “responsabile di agenzia”, al quale è stato chiesto di avviare una nuova attività per tentare di estorcere denaro e dati personali.
AI generativa a scopo di estorsione
L’FBI avverte “Sempre più cybercriminali utilizzano l’intelligenza artificiale generativa a scopo di estorsione”. E le truffe diventano elaborate come non mai. Come quella in cui, nel febbraio scorso, è caduto vittima un dipendente finanziario di una multinazionale in una filiale di Hong Kong.
L’uomo è stato tratto in inganno a trasferire ingenti somme di denaro su 15 differenti conti correnti – per un totale di 200 milioni di dollari di Hong Kong (25,6 milioni di dollari) – dopo aver ricevuto l’invito a partecipare a una finta riunione di lavoro. Una truffa molto simile a quella avvenuta ad Arup. Anche in questo caso, infatti, dall’altra parte dello schermo non c’erano quelli che il dipendente credeva fossero i dirigenti del centro finanziario, bensì dei malintenzionati sotto falsa identità.
