Per anni, i programmi di sensibilizzazione sulla sicurezza informatica si sono concentrati sull’aiutare i dipendenti a individuare le email sospette. Era l’approccio giusto da adottare; l’email è da tempo uno dei modi più comuni con cui gli hacker riescono ad accedere ai sistemi di un’azienda. Ai dipendenti è stato insegnato a stare attenti agli allegati inaspettati, alle richieste insolite e ai messaggi che sembrano un po’ strani.

Ma gli hacker non stanno con le mani in mano.

La clonazione della voce, i deepfake e gli attacchi di impersonificazione basati sull’intelligenza artificiale stanno creando una nuova sfida per le organizzazioni, perché prendono di mira qualcosa di cui molte persone si fidano istintivamente: una voce familiare.

La clonazione della voce non è più solo roba da fantascienza. Quella che una volta era considerata una tecnologia emergente è ora ampiamente disponibile, sempre più realistica e incredibilmente facile da usare.

Il problema non è solo che gli hacker possano clonare le voci, ma che le persone tendano naturalmente a fidarsi di loro. Quando ricevi un messaggio nella tua casella di posta, potresti fermarti un attimo a chiederti se sia autentico, ma quando qualcuno che sembra proprio il tuo capo ti chiama e ti chiede aiuto, non sempre scatta lo stesso scetticismo.

Ecco perché la clonazione della voce sta diventando uno strumento così potente per i criminali informatici.

Perché ci fidiamo di più delle voci che delle e-mail

Anni di campagne di sensibilizzazione hanno insegnato alle persone a diffidare dei messaggi inaspettati e a riflettere bene prima di cliccare sui link o condividere informazioni. Anche se non se ne rendono conto consapevolmente, molti dipendenti hanno sviluppato delle abitudini che li aiutano a capire se un’e-mail sembra autentica.

La comunicazione vocale è diversa. Quando sentiamo qualcuno parlare, soprattutto se è una persona che conosciamo o riconosciamo, il nostro istinto è quello di fidarci di ciò che sentiamo. Una voce familiare sembra personale, autentica e molto più difficile da imitare. Ecco perché la clonazione vocale è diventata uno strumento così allettante per i criminali informatici.

Immagina di essere a metà di un pomeriggio frenetico quando squilla il telefono. È il tuo direttore finanziario; o almeno, la voce sembra proprio la sua.

Si scusano per averti chiamato all’improvviso e ti spiegano che sono in riunione. Hanno bisogno che tu approvi un pagamento prima della fine della giornata o che invii alcune informazioni per una richiesta urgente di un cliente. Tutto nella conversazione sembra normale. La voce ti suona familiare, il tono è quello giusto e nulla fa sorgere immediatamente sospetti.

Solo che non sono loro.

La clonazione della voce è ormai alla portata di tutti

L’aspetto più preoccupante della clonazione vocale è quanto sia diventata facile.

Qualche anno fa, per creare una voce sintetica convincente servivano conoscenze specialistiche, tecnologie costose e un bel po’ di tempo. Oggi, alcuni strumenti di intelligenza artificiale riescono a generare un clone vocale realistico partendo da appena tre secondi di audio. Quella registrazione potrebbe provenire da un’apparizione in un podcast, da un video su LinkedIn, da un webinar aziendale, da una presentazione a una conferenza o persino da un breve video condiviso sui social media. Molti dirigenti di alto livello hanno già abbastanza materiale audio disponibile pubblicamente da permettere agli hacker di creare un’imitazione credibile.

Una volta clonata, quella voce può essere usata nelle telefonate, nei messaggi in segreteria o nelle note vocali che sembrano provenire da un collega fidato o da un dirigente. Un dipendente che metterebbe subito in discussione un’e-mail sospetta potrebbe essere molto meno propenso a dubitare di una voce familiare che gli chiede di agire in fretta.

È proprio questo che rende la clonazione vocale un rischio aziendale così grave. La tecnologia non è più appannaggio esclusivo di malintenzionati esperti; sta diventando una risorsa di uso comune, accessibile a chiunque voglia usarla.

Man mano che le barriere all’ingresso continuano ad abbassarsi, le organizzazioni devono partire dal presupposto che l’usurpazione della voce diventerà una minaccia sempre più diffusa.

Perché la clonazione vocale funziona meglio se abbinata ad altri attacchi

La clonazione della voce non sta sostituendo le tecniche tradizionali di ingegneria sociale; le sta rafforzando.

Gli attacchi più efficaci non si basano su una singola interazione. Gli hacker, infatti, si costruiscono una credibilità su più canali prima di chiedere alla loro vittima di fare qualcosa.

Un dipendente potrebbe ricevere un’e-mail che sembra provenire da un fornitore. Più tardi, quello stesso giorno, riceve un messaggio su Teams che ribadisce la stessa richiesta, poi arriva una telefonata da qualcuno che sembra un dirigente di alto livello che conferma che la richiesta è legittima.

Ogni interazione rende quella successiva più credibile. Quando poi al dipendente viene chiesto di trasferire fondi, autorizzare un accesso o condividere informazioni, la richiesta sembra familiare e affidabile.

L’intelligenza artificiale sta rendendo questi attacchi più facili da mettere in atto e molto più semplici da estendere su larga scala. Gli hacker possono generare email convincenti, messaggi personalizzati e chiamate vocali clonate in una frazione del tempo che ci sarebbe voluto in passato.

Il risultato è una forma di ingegneria sociale molto più sofisticata, alla quale molte organizzazioni non sono preparate.

Il divario di consapevolezza che le organizzazioni devono colmare

Molti programmi di sensibilizzazione alla sicurezza sono ancora fortemente incentrati sulle minacce via e-mail. I dipendenti vengono formati per controllare i link, riconoscere le e-mail di phishing e segnalare i messaggi sospetti. Anche se queste competenze sono importanti, non preparano del tutto le persone agli attacchi che arrivano tramite telefonate, messaggi vocali, piattaforme di collaborazione o una combinazione di tutte e tre.

La sfida non è spiegare ai dipendenti come funziona la tecnologia di clonazione vocale basata sull’IA, ma insegnare loro come reagire quando una richiesta sembra autentica.

Quando una voce familiare ti chiede di agire con urgenza, devi avere la sicurezza necessaria per rallentare un attimo, verificare la richiesta e seguire le procedure stabilite. Questo comportamento è molto più importante che capire i dettagli tecnici dell’attacco.

Man mano che le tecniche di ingegneria sociale diventano sempre più sofisticate, i corsi di sensibilizzazione devono rispecchiare la realtà con cui si trovano a confrontarsi i dipendenti.

Perché la formazione basata sulle storie fa la differenza

Una delle sfide più grandi legate alle minacce emergenti come la clonazione vocale è che possono sembrare astratte finché non le vivi in prima persona.

La maggior parte dei dipendenti sa che esistono i deepfake e le voci generate dall’intelligenza artificiale, ma questo non significa automaticamente che riescano a riconoscere un tentativo di impersonificazione quando si verifica.

La gente non impara a gestire la pressione leggendo un documento sulle linee guida; impara osservando situazioni realistiche e capendo come gli hacker si approfitto della fiducia.

Ecco perché i corsi di sensibilizzazione basati su storie reali stanno diventando sempre più importanti.

Cyber Police è la serie live-action di MetaCompliance dedicata alla sensibilizzazione informatica, pensata per far capire in modo concreto quali sono le vere minacce informatiche, come la clonazione della voce, attraverso una narrazione coinvolgente. Con personaggi realistici, scenari lavorativi e attacchi messi in scena, mostra ai dipendenti come si sviluppano le moderne minacce informatiche, come viene manipolata la fiducia e come situazioni apparentemente normali possano trasformarsi rapidamente in incidenti gravi.

Osservando come si svolgono gli attacchi attraverso gli occhi delle persone coinvolte, i dipendenti acquisiscono una comprensione molto più approfondita di come riconoscere i comportamenti sospetti e reagire in modo efficace.

Costruire una cultura della verifica

Man mano che la clonazione vocale diventa sempre più diffusa, le organizzazioni devono ripensare il modo in cui si instaura la fiducia.

Non ci si dovrebbe mai aspettare che i dipendenti riescano a capire se una voce è vera o generata dall’intelligenza artificiale solo ascoltandola. La tecnologia è troppo convincente perché questa possa essere una difesa affidabile.

Le organizzazioni hanno invece bisogno di processi di verifica chiari per le richieste che riguardano pagamenti, informazioni sensibili, credenziali o l’accesso ai sistemi.

  • Se una richiesta è insolita, controllala.
  • Se una richiesta sembra urgente, controlla bene.
  • Se una richiesta riguarda denaro o dati sensibili, controllala.

La cosa più importante è che i dipendenti si sentano a proprio agio nel farlo. Una solida cultura della sicurezza incoraggia le persone a mettere in discussione le richieste quando serve, anche se sembrano provenire dai vertici aziendali.

Quella breve pausa per verificare le informazioni può evitare un errore che ti costerebbe caro.

Il futuro dell’ingegneria sociale è già qui

La clonazione della voce viene spesso vista come una minaccia futura, ma le aziende devono prepararsi fin da oggi. La tecnologia sta diventando sempre più accessibile, la qualità migliora rapidamente e per le persone è sempre più difficile individuarla. Infatti, McAfee ha scoperto che il 70% delle persone non è sicuro di riuscire a distinguere una voce clonata da una vera, il che evidenzia quanto questi attacchi siano diventati credibili.

Le organizzazioni che sapranno reagire in modo efficace saranno quelle che creeranno una cultura in cui la verifica è all’ordine del giorno, i dipendenti si sentono a proprio agio nel mettere in discussione richieste insolite e la formazione sulla sensibilizzazione riflette le minacce che le persone sono più esposte a subire.

Quando sentire una voce familiare non basta più a dimostrare chi sei, la fiducia va guadagnata, non data per scontata.

Scopri di più sulla Cyber Police

Cyber Police usa la fiction per dare vita alle vere minacce informatiche, stimolando il dibattito e mettendo in discussione i preconcetti. Ogni stagione affronta le minacce che i dipendenti rischiano di incontrare più spesso, dal phishing al ransomware fino ai deepfake, e le trasforma in episodi avvincenti. Guardando alle minacce attraverso gli occhi di chi ne è colpito, i dipendenti acquisiscono una maggiore consapevolezza e la sicurezza necessaria per reagire in modo efficace.

Scopri di più su Cyber Police e scopri come la formazione sulla sensibilizzazione basata su scenari reali aiuti i dipendenti a riconoscere le moderne minacce informatiche, a mettere in discussione comportamenti sospetti e a reagire con sicurezza in situazioni reali.