È il “rapimento virtuale” il nuovo crimine informatico emergente secondo gli esperti di Trend Micro. Se ne parla nel nuovo studio Virtual Kidnapping: How AI Voice Cloning Tools and Chat GPT are Being Used to Aid Cybercrime and Extortion Scams che descrive sette elementi tipici di un attacco di rapimento virtuale.

Si parte dall’identificazione di una potenziale vittima (parente di un rapito), il cui requisito principale sia la disponibilità di sufficiente denaro per pagare un riscatto. Da qui è ovvia conseguenza la selezione della potenziale vittima virtuale di rapimento (il rapito), spesso identificata in un minore. A questo punto i criminali informatici devono dare spazio alla fantasia, inventando una storia credibile per manipolare emotivamente la vittima. Più il giudizio e il pensiero critico di una vittima sono compromessi, quanto più è probabile che una persona spaventata si comporti come chiedono i criminali.

Passando ai fatti, gli attaccanti collezionano campioni di biometria vocale della vittima del rapimento virtuale, dai post sui social media. Servendosi di una tecnologia deepfake (file vocali falsi generati dall'intelligenza artificiale) creeranno un audio ad hoc. Sulla base degli aggiornamenti dei social media della vittima del rapimento virtuale, i cybercriminali daranno il via alla truffa quando il soggetto è fisicamente lontano dalla vittima del riscatto per un periodo sufficientemente lungo, per esempio per una vacanza o un viaggio di lavoro. Questo impedirà alla vittima del riscatto di verificare rapidamente se la persona rapita è al sicuro, consentendo all'attacco di proseguire secondo i piani.

Scatta il piano: gli attaccanti chiamano la vittima usando un software di modulazione vocale per rendere la voce più spaventosa o minacciosa e si servono dell'audio deepfake del presunto rapito per far credere che in effetti sia in corso un sequestro. Al termine della chiamata prendono il via le attività post-chiamata con la richiesta di riscatto. Se tutto va come previsto, seguiranno il riciclaggio di denaro del riscatto, l'eliminazione di tutti i file pertinenti e la distruzione del telefono utilizzato.

Un paino diabolico che si declina in versione digitale grazie alla disponibilità di risorse quali l’intelligenza artificiale e il machine learning. Utilizzando ChatGPT, per esempio, un cybercriminale può fondere grandi set di dati di potenziali vittime usando informazioni vocali e video, geolocalizzazione e quant’altro. Inoltre, può consentire la formulazione di un sistema di punteggio basato sul rischio per la selezione delle vittime, rendendo questo tipo di attacco ancora più redditizio e scalabile.

Dalla teoria alla pratica

Azioni del genere sono già realtà: negli Stati Uniti, l’FBI ha messo in guardia il pubblico su come i criminali informatici utilizzino la tecnologia deepfake per manipolare foto e video innocui e convertirli in schemi redditizi di sextortion. La Federal Trade Commission ha stimato che nel 2022 le perdite derivanti da queste attività illecite hanno raggiunto i 2,6 miliardi di dollari.

Nell'aprile 2023, in Arizona, una donna ha ricevuto una chiamata nella quale un anonimo affermava di aver rapito la figlia di 15 anni e chiedeva un riscatto di 1 milione di dollari, minacciando di compiere violenza sulla vittima in caso di mancato pagamento. La donna ha affermato di aver sentito chiaramente il pianto, le urla e la voce supplichevole della figlia in sottofondo, anche se il criminale si è rifiutato di lasciarla parlare con lei. Dopo alcuni minuti di negoziazione, l'importo del riscatto è sceso a 50.000 dollari. Fortunatamente, prima del pagamento, la vittima ha verificato che sua figlia fosse al sicuro e che non fosse stata rapita.