Phishing di Nuova Generazione: L’ascesa degli Scam di Vishing AI

Nella sicurezza informatica, le minacce online poste dall’AI possono avere impatti molto concreti su individui e organizzazioni di tutto il mondo. Gli scam di phishing tradizionali sono evoluti attraverso l’abuso di strumenti AI, diventando più frequenti, sofisticati e difficili da rilevare con ogni anno che passa. Il vishing AI è forse la tecnica più preoccupante di queste tecniche in evoluzione.

Cosa è il Vishing AI?

Il vishing AI è un’evoluzione del phishing vocale (vishing), dove gli attaccanti impersonano individui di fiducia, come rappresentanti di banche o team di supporto tecnico, per ingannare le vittime e farle eseguire azioni come il trasferimento di fondi o la concessione di accesso ai loro account.

L’AI migliora gli scam di vishing con tecnologie come la clonazione vocale e i deepfake che mimano le voci di individui di fiducia. Gli attaccanti possono utilizzare l’AI per automatizzare le chiamate telefoniche e le conversazioni, consentendo loro di bersagliare un gran numero di persone in un tempo relativamente breve.

Il Vishing AI nel Mondo Reale

Gli attaccanti utilizzano tecniche di vishing AI in modo indiscriminato, bersagliando tutti, dalle persone vulnerabili alle aziende. Questi attacchi si sono rivelati notevolmente efficaci, con il numero di americani che perdono denaro a causa del vishing aumentato del 23% dal 2023 al 2024. Per mettere questo in prospettiva, esploreremo alcuni degli attacchi di vishing AI più noti che hanno avuto luogo negli ultimi anni.

Scam di Imprese Italiane

All’inizio del 2025, gli scammers hanno utilizzato l’AI per mimare la voce del Ministro della Difesa italiano, Guido Crosetto, nel tentativo di truffare alcuni dei più importanti leader aziendali italiani, tra cui il designer di moda Giorgio Armani e il co-fondatore di Prada, Patrizio Bertelli.

Impersonando Crosetto, gli attaccanti hanno affermato di aver bisogno di assistenza finanziaria urgente per il rilascio di un giornalista italiano sequestrato in Medio Oriente. Solo una vittima è caduta nella truffa in questo caso – Massimo Moratti, ex proprietario dell’Inter Milan – e la polizia è riuscita a recuperare i fondi rubati.

Alberghi e Aziende di Viaggio sotto Assedio

Secondo il Wall Street Journal, l’ultimo trimestre del 2024 ha visto un aumento significativo degli attacchi di vishing AI contro l’industria alberghiera e dei viaggi. Gli attaccanti hanno utilizzato l’AI per impersonare agenti di viaggio e dirigenti aziendali per ingannare il personale della reception degli alberghi e farli divulgare informazioni sensibili o concedere accesso non autorizzato ai sistemi.

Hanno fatto ciò dirigendo i rappresentanti del servizio clienti, spesso durante le ore di punta, ad aprire un’e-mail o un browser con un allegato dannoso. A causa della capacità notevole di mimare i partner che lavorano con l’albergo attraverso gli strumenti AI, gli scam telefonici sono stati considerati “una minaccia costante”.

Truffe di Storia d’Amore

Nel 2023, gli attaccanti hanno utilizzato l’AI per mimare le voci di membri della famiglia in difficoltà e truffare gli anziani di circa 200.000 dollari. Le chiamate di truffa sono difficili da rilevare, specialmente per le persone anziane, ma quando la voce all’altro capo del telefono suona esattamente come un membro della famiglia, sono quasi indistinguibili. Vale la pena notare che questo incidente è avvenuto due anni fa – la clonazione vocale AI è diventata ancora più sofisticata da allora.

AI Vishing-as-a-Service

Il Vishing AI-as-a-Service (VaaS) è stato un contributore significativo alla crescita del vishing AI negli ultimi anni. Questi modelli di abbonamento possono includere capacità di spoofing, prompt personalizzati e agenti adattabili, consentendo ai cattivi attori di lanciare attacchi di vishing AI su larga scala.

In Fortra, abbiamo monitorato PlugValley, uno dei principali attori nel mercato del Vishing AI-as-a-Service. Questi sforzi ci hanno fornito informazioni sulla minaccia e, forse più importante, hanno reso chiaro quanto avanzati e sofisticati siano diventati gli attacchi di vishing.

PlugValley: Vishing AI-as-a-Service Svelato

Il bot di vishing di PlugValley consente agli attaccanti di distribuire voci lifelike e personalizzabili per manipolare le potenziali vittime. Il bot può adattarsi in tempo reale, mimare i modelli di parlato umano, spoofare gli ID dei chiamanti e anche aggiungere rumore di fondo del call center alle chiamate vocali. Rende gli scam di vishing AI così convincenti, aiutando i cybercriminali a rubare credenziali bancarie e password a uso singolo (OTPs).

PlugValley rimuove le barriere tecniche per i cybercriminali, offrendo tecnologia di frode scalabile al click di un pulsante per abbonamenti mensili nominali.

I fornitori di VaaS come PlugValley non stanno solo eseguendo truffe; stanno industrializzando il phishing. Rappresentano l’ultima evoluzione dell’ingegneria sociale, consentendo ai cybercriminali di utilizzare strumenti di machine learning (ML) e approfittare delle persone su larga scala.

Protezione contro il Vishing AI

Le tecniche di ingegneria sociale basate su AI, come il vishing AI, sono destinate a diventare più comuni, efficaci e sofisticate negli anni a venire. Di conseguenza, è importante per le organizzazioni implementare strategie proattive come la formazione sulla consapevolezza degli impiegati, sistemi di rilevamento delle frodi migliorati e intelligence sulle minacce in tempo reale,

A livello individuale, le seguenti linee guida possono aiutare a identificare e evitare i tentativi di vishing AI:

• Sii Scettico sulle Chiamate Non Sollecitate: Esercita la cautela con le chiamate telefoniche inaspettate, specialmente quelle che richiedono dettagli personali o finanziari. Le organizzazioni legittime non chiedono generalmente informazioni sensibili al telefono. ​
• Verifica l’Identità del Chiamante: Se un chiamante afferma di rappresentare un’organizzazione nota, verifica la sua identità contattando l’organizzazione direttamente utilizzando informazioni di contatto ufficiali. ​WIRED suggerisce di creare una password segreta con la tua famiglia per rilevare gli attacchi di vishing che affermano di essere da un membro della famiglia.
• Limita la Condivisione di Informazioni: Evita di divulgare informazioni personali o finanziarie durante le chiamate non sollecitate. Sii particolarmente guardinga se il chiamante crea un senso di urgenza o minaccia di conseguenze negative. ​
• Educa Te Stesso e Gli Altri: Rimani informato sulle tattiche di vishing comuni e condividi questa conoscenza con amici e familiari. La consapevolezza è una difesa critica contro gli attacchi di ingegneria sociale.​
• Segnala le Chiamate Sospette: Informa le autorità pertinenti o le agenzie di protezione dei consumatori degli attacchi di vishing. La segnalazione aiuta a tracciare e mitigare le attività fraudolente.

Tutti gli indizi suggeriscono che il vishing AI è qui per rimanere. In effetti, è probabile che continui ad aumentare in volume ed esecuzione. Con la diffusione dei deepfake e la facilità di adozione delle campagne con modelli as-a-service, le organizzazioni dovrebbero aspettarsi di essere bersagliate, a un certo punto, con un attacco.

L’educazione degli impiegati e il rilevamento delle frodi sono fondamentali per prepararsi e prevenire gli attacchi di vishing AI. La sofisticazione del vishing AI può portare anche i professionisti della sicurezza ben addestrati a credere a richieste o narrazioni apparentemente autentiche. Per questo, una strategia di sicurezza completa e stratificata che integri salvaguardie tecnologiche con una forza lavoro costantemente informata e vigile è essenziale per mitigare i rischi posti dal phishing AI.