LastPass ha ricevuto numerose critiche per le intrusioni subite a fine agosto e fine novembre 2022. Stavolta però gli utenti devono ringraziare un attento dipendente che ha sventato un tentativo di attacco tramite deepfake audio. Il cybercriminale voleva sfruttare la classica tecnica dell’ingegneria sociale.
Deepfake audio sempre più frequenti
LastPass ha confermato il tentativo con un post sul blog ufficiale. Un dipendente ha ricevuto una serie di chiamate e messaggi di testo, oltre ad un messaggio vocale su WhatsApp. Un ignoto cybercriminale ha utilizzato l’intelligenza artificiale per generare la voce del CEO Karim Toubba. In pratica un deepfake audio.
Il servizio di messaggistica di Meta non è un canale di comunicazione solitamente usato in ambito aziendale. Inoltre c’erano evidenti indizi di un attacco tramite ingegneria sociale. Il dipendente non è quindi caduto nella trappola, ha ignorato tutti i messaggi e segnalato l’accaduto al team che si occupa della sicurezza. La software house ha sottolineato che ciò non ha avuto nessuna conseguenza per la sicurezza.
I deepfake audio sono sfruttati sempre più spesso per ingannare gli utenti e convincerli a fornire dati sensibili o effettuare pagamenti. Oggi esistono numerosi tool (gratuiti e non) per generare una voce simile all’originale, usando come input l’audio estratto ad esempio da un video su YouTube.
OpenAI ha recentemente annunciato Voice Engine, un modello che permette di clonare la voce a partire da un campione audio di 15 secondi. Tra i rischi evidenziati dall’azienda guidata da Sam Altman c’è proprio quello relativo ai deepfake audio.