Un barone indiano del settore tessile ha rivelato di essere stato ingannato con 70 milioni di rupie (833.000 dollari) da truffatori online che si sono spacciati per investigatori federali e persino per il capo della Corte Suprema.
I truffatori, fingendosi funzionari del Central Bureau of Investigation (CBI) indiano, hanno chiamato il 28 agosto SP Oswal, presidente e amministratore delegato dell’azienda tessile Vardhman, accusandolo di riciclaggio di denaro.
Per i due giorni successivi, Oswal è stato sotto sorveglianza digitale poiché gli è stato ordinato di tenere Skype aperto sul suo telefono 24 ore su 24, 7 giorni su 7, durante i quali è stato interrogato e minacciato di arresto. I truffatori hanno anche condotto una falsa udienza in tribunale virtuale con un’imitazione digitale del giudice capo dell’India DY Chandrachud come giudice.
Oswal ha pagato l’importo dopo il verdetto del tribunale via Skype senza rendersi conto di essere l’ultima vittima di una truffa online utilizzando un nuovo modus operandi, chiamato “arresto digitale”.
Allora, cos’è un arresto digitale e quali misure sono necessarie per fermarlo?
Cos’è esattamente un arresto digitale?
L’arresto digitale è una nuova forma di frode online, in cui i truffatori convincono le vittime di essere sotto arresto “digitale” o “virtuale” e la vittima è costretta a rimanere in contatto con il truffatore tramite un software di videoconferenza. I truffatori quindi manipolano i loro obiettivi affinché mantengano un contatto video continuo, tenendoli di fatto in ostaggio delle richieste fraudolente dei truffatori.
Similmente al phishing, un arresto digitale è un tipo di attacco informatico che consiste nell’ingannare le persone inducendole a rivelare informazioni sensibili che potrebbero comportare il furto di identità, perdite finanziarie o il furto di dati per scopi dannosi. Le tecniche sono diventate più sofisticate con l’avvento dell’audio e del video generati dall’intelligenza artificiale.
Il phishing è un attacco informatico in cui un utente malintenzionato si spaccia per un’organizzazione o una persona legittima per ingannare l’individuo o l’organizzazione inducendolo a divulgare informazioni sensibili.
Il truffatore svelerà una perdita estrema, sia finanziaria che di altra natura legale, convincendo la vittima che è “qui per aiutare”. Molte vittime vengono indotte o costrette ad abbassare la guardia e a seguire le istruzioni del truffatore.
Ciò che fa sembrare legittime molte di queste truffe è l’uso di software di videoconferenza. La maggior parte delle truffe sono anonime e le interazioni avvengono tramite una semplice telefonata. Con i software di videoconferenza, un individuo che utilizza la sofisticata tecnologia video deepfake può apparire come una persona completamente diversa – e spesso reale – che partecipa alla videochiamata.
Inoltre, con un frammento di audio, magari proveniente da un giudice o da un agente di polizia di alto livello, un motore di intelligenza artificiale può replicare la voce di una persona, che può poi essere utilizzata dal truffatore.
“‘Questo è semplicemente un nuovo spear-phishing, come lo definirei io, perché è altamente mirato e mostra una consapevolezza molto maggiore delle circostanze della vittima rispetto al vecchio phishing, dove un principe da qualche parte dice che aveva bisogno di inviare denaro a negli Stati Uniti e in qualche modo tu sei l’unico modo in cui può farlo”, ha detto ad Oltre La Linea VS Subrahmanian, professore di informatica alla Northwestern University.
“Quindi le truffe di phishing sono diventate molto più sofisticate e in effetti esistono parole per descriverle. Il vishing è il video phishing, il phishing è la pesca tramite SMS”.
Cosa sappiamo della storia di SP Oswal? Si sono verificati altri arresti digitali?
Secondo un’intervista con il nuovo canale NDTV, Oswal ha ricevuto una chiamata da un individuo anonimo che sosteneva che c’erano irregolarità finanziarie su uno dei suoi conti bancari mentre sosteneva che il suo conto era collegato a un caso contro Naresh Goyal, l’ex presidente di Jet Airways che è stato arrestato nel settembre 2023 per aver riciclato 5,3 miliardi di rupie (64 milioni di dollari).
I truffatori sono riusciti a convincere Oswal a pagare 833.000 dollari su un conto bancario specifico dopo aver emesso falsi mandati di arresto e falsi documenti della Corte Suprema che stabilivano il presunto importo dovuto.
Oswal ha presentato una denuncia alla polizia locale dopo l’incidente. Con l’aiuto dei funzionari del crimine informatico, Oswal è riuscito a recuperare 630.000 dollari degli 833.000 dollari. Secondo la polizia locale si tratta del più grande recupero avvenuto in India per un caso di questo tipo.
Sebbene Oswal sia l’ultima vittima di una truffa di phishing digitale, negli ultimi anni in India gli arresti digitali sono aumentati. La proliferazione di molti di questi arresti digitali ha preso piede intorno al 2020, dopo che molti servizi sono stati spostati online a causa dei blocchi durante la pandemia di COVID-19.
Il mese scorso, un dipendente che lavora per il Raja Ramanna Advanced Technology Center (RRCAT) sotto il Dipartimento dell’energia atomica è stato defraudato di 7,1 milioni di rupie (circa 86.000 dollari) a seguito di un arresto digitale.
In un altro incidente il mese scorso, un alto funzionario della National Buildings Construction Corporation è stato ingannato con 5,5 milioni di rupie (circa 66.000 dollari) tramite videochiamata WhatsApp dopo essere stato accusato di traffico di passaporti falsi, carte bancomat illegali e droghe illegali.
Perché le truffe video sofisticate e deepfake AI sono in aumento?
Sebbene la tecnologia deepfake esista dal 2015, l’uso dei deepfake per scopi fraudolenti è diventato più frequente e più sofisticato a causa dell’accelerazione dell’apprendimento automatico e di vari strumenti di intelligenza artificiale.
Queste nuove tecnologie deepfake consentono a un truffatore di incorporare chiunque nel mondo in un video o una foto, anche aggiungendo audio utilizzando un flusso multimediale AI deepfake, per poi fingere di essere l’individuo in una videoconferenza come Zoom, Skype o Teams. A meno che l’ospite della chiamata non disponga di un software anti-deepfake, il deepfake può essere difficile da individuare.
Secondo un articolo del Wall Street Journal (WSJ) pubblicato nel marzo 2019, i truffatori hanno utilizzato un’intelligenza artificiale vocale profondamente falsa per frodare l’amministratore delegato di un’azienda energetica con sede nel Regno Unito per 220.000 euro (243.000 dollari).
Alcuni software deepfake richiedono solo da 10 secondi a un minuto di audio di una persona che parla per replicare vari modelli di discorso, emozioni e accento del soggetto. Il software vocale AI terrà conto anche delle pause naturali, dell’inflessione di alcune lettere e del tono della voce, rendendo la replica praticamente indistinguibile dall’audio che proviene effettivamente dalla persona reale.
Secondo un articolo del New York Times, il mese scorso un chiamante si è presentato come l’ex ministro degli Esteri ucraino Dmytro Kuleba, in una videoconferenza con il senatore Benjamin L Cardin, presidente del Comitato per le relazioni estere.
Sebbene non si sia verificata alcuna frode monetaria, ciò aumenta il pericolo che gli attori fraudolenti possano manipolare i principali leader politici per influenzare determinati risultati delle elezioni politiche o iniziative di politica estera ad alto rischio.
Sebbene gli episodi di arresti digitali siano avvenuti in diversi paesi del mondo, secondo Subrahmanian, professore della Northwestern University, queste truffe tendono ad essere pervasive in India a causa della mancanza di consapevolezza sui deepfake.
Inoltre, Subrahmanian ha affermato che una parte significativa della popolazione indiana utilizza esclusivamente i propri telefoni cellulari. “Pensano al telefono come a qualcosa di cui fidarsi e che fornisce buone informazioni. Quindi, quando ricevono una chiamata come questa, non necessariamente diffidano subito”.
Ha aggiunto che il settore delle telecomunicazioni indiano non è riuscito a prendere sul serio la sicurezza informatica.
Come si può fermare tutto questo?
La maggior parte dei software deepfake viene creata utilizzando un tipo di modello di intelligenza artificiale (AI) chiamato reti generative avversarie (GAN). Questi GAN spesso lasciano un “artefatto” unico nel deepfake.
Il sistema di rilevamento dei deepfake può rilevare questi artefatti e può essere rilevato. Tali artefatti incorporati nell’audio possono essere riconosciuti da un sistema di rilevamento dei deepfake.
Man mano che la tecnologia deepfake diventa più sofisticata, i sistemi di rilevamento dovranno muoversi al passo con queste innovazioni.
Tuttavia, Subrahmanian ha suggerito che affidarsi solo al software di rilevamento dei deepfake non è sufficiente. Sarà necessaria una sensibilizzazione su queste tecnologie deepfake e possibilmente un’iniziativa globale, simile alla legge sulla privacy del Regolamento generale sulla protezione dei dati (GDPR) emanata dall’Unione Europea.
“Uno è quello di utilizzare gli accordi esistenti che già esistono. Quindi, per darti un esempio, l’Interpol può emettere mandati per persone che commettono truffe transnazionali, indipendentemente dal fatto che queste truffe siano basate su frodi finanziarie attraverso l’intelligenza artificiale generativa o qualcos’altro”.
Le organizzazioni responsabili dell’applicazione delle leggi internazionali e degli accordi di cooperazione necessitano di una migliore formazione e di strumenti più efficaci, ha affermato.
