Reclutamento di Professionisti dell’Imitazione Vocale
I cybercriminali stanno reclutando squadre di professionisti dell’imitazione vocale per colpire dirigenti di alto livello nel settore delle criptovalute negli Stati Uniti, attraverso sofisticati attacchi di ingegneria sociale basati su telefono. Gli operatori possono guadagnare fino a $20.000 al mese in quelle che i ricercatori definiscono campagne di “vishing“.
Attacchi Mirati e Organizzati
Un nuovo rapporto di GK8 di Galaxy, esaminato da Decrypt, rivela come gli attori della minaccia siano passati oltre le tradizionali email di phishing, costruendo imprese criminali organizzate che prendono di mira i leader del settore crypto con campagne personalizzate di voce e video. Gli attacchi utilizzano dataset curati di dirigenti, imitazione vocale e infrastrutture professionali per sfruttare gli individui che proteggono le infrastrutture di custodia e le chiavi private, aumentando il rischio di furti di criptovalute su larga scala.
Reclutamento e Targeting
A giugno, i ricercatori di GK8 hanno scoperto post di reclutamento su forum sotterranei riservati, dove attori della minaccia affermati cercavano “chiamatori” esperti per eseguire attacchi mirati contro dirigenti senior di importanti aziende crypto statunitensi. I post includevano elenchi di obiettivi campione contenenti cinque dirigenti crypto, tra cui funzionari legali senior, ingegneri, controllori finanziari e CTO, tutti con un patrimonio netto minimo di circa $500.000.
“Abbiamo convalidato la reputazione degli attori della minaccia su questi forum esaminando referenze, affermazioni, valutazioni, la data di creazione dell’account del fornitore e la reputazione del forum,” ha dichiarato Tanya Bekker, Responsabile della Ricerca di GK8, a Decrypt.
Strategie di Attacco Avanzate
Bekker ha affermato che le moderne campagne di “vishing” sono “altamente mirate e personalizzate” e si concentrano su “dirigenti e professionisti crypto di alto valore con accesso privilegiato.” Gli attori della minaccia impiegano sistemi Voice over Internet Protocol, numeri di chiamata diretta e capacità SMS per impersonare banche, servizi crypto e agenzie governative.
Compensi e Operazioni a Lungo Termine
I post sui forum rivelano compensi che vanno da $15 per una chiamata di 20 minuti a oltre $20.000 mensili per operatori esperti. “Osserviamo che alcuni operatori lavorano su base a lungo termine, costruendo gruppi organizzati che funzionano come un’industria di frode professionale,” ha dichiarato Bekker.
Minacce Globali e Rischi Crescenti
Sebbene il caso specifico esaminato fosse focalizzato su dirigenti statunitensi, Bekker ha affermato che campagne simili operano in Germania, Regno Unito e Australia. Incidenti recenti indicano l’ampiezza delle minacce di ingegneria sociale che affronta l’industria crypto. Operativi nordcoreani hanno creato aziende false e utilizzato deepfake durante i colloqui di lavoro per infiltrarsi nelle aziende crypto, con attaccanti che hanno rubato $1,34 miliardi in 47 incidenti solo nel 2024.
“Il principale metodo di rilevamento è che gli attaccanti hanno quasi sempre una connessione internet lenta” ha detto Jimmy Su, Chief Security Officer di Binance.
Prevenzione e Raccomandazioni
Bekker ha avvertito che gli attacchi diventeranno più sofisticati poiché “distinguere tra falso e realtà diventerà sempre più difficile” e ha affermato che le organizzazioni crypto devono difendersi contro “attacchi di ingegneria sociale personalizzati che sfruttano le vulnerabilità umane.” Ha raccomandato ai dirigenti di “presumere che le loro informazioni personali siano già state esposte” e di garantire che “le transazioni di alto valore non siano confermate da un singolo individuo.”
Bekker ha sottolineato che “l’ingegneria sociale prospera sugli errori umani” e le aziende hanno bisogno di “protocolli specifici e formazione sulle tattiche di ingegneria sociale vocale e video.”
“Con le frodi altamente personalizzate in aumento, le aziende devono accettare che anche i collaboratori più fidati possono essere ingannati,” ha detto Bekker.
Il rapporto di GK8 rivela che gli attori della minaccia specificano criteri di reclutamento dettagliati per i chiamatori, inclusi preferenze di accento, selezione di genere, capacità linguistiche e disponibilità attraverso i fusi orari, per abbinare profili di obiettivi specifici e massimizzare il coinvolgimento delle vittime durante le ore di punta.
