La recente diffusione mainstream della tecnologia AI ha portato all’espansione delle tecniche di impersonificazione fraudolente deepfake, minacciando ora anche i controlli KYC dei crypto exchange.
Da poco nel web è emerso un nuovo strumento, chiamato ProKYC, capace proprio di eludere i controlli di riconoscimento dell’identità “Know Your Customer” degli exchange.
Rappresenta un nuovo livello di truffa finanziaria altamente sofisticata, in grado di creare gravi danni a diverse società crittografiche.
A questo si aggiungono le sempre più frequenti fughe di dati che coinvolgono purtroppo anche famose società di investimento, mettendo a rischio le loro informazioni online.
Vediamo tutti i dettagli di seguito.
Summary
AI: l’avvento della minaccia deepfake e le misure di sicurezza KYC degli exchange
Negli ultimi 2 anni l’espansione della tecnologia AI innescato l’aumento delle truffe finanziarie nel web, capitanate dall’uso sempre più massiccio di video deepfake.
Questi video, creati con l’ausilio dell’intelligenza artificiale, consentono agli scammers di impersonificarsi come personaggi famosi e celebrità replicando in modo veritiero aspetto e voce. Con questi video i truffatori propongono poi alle loro vittime meno attente di entrare attraverso link di phishing o di acquistare token scam.
Su Twitter, Youtube ed altri social media vediamo sempre più spesso casi del genere, con video deepfake che riprendono il volto di Cristiano Ronaldo, Elon Musk ecc.
A volte si arriva addirittura ad utilizzare questi modelli nelle videocall aziendali, puntando a colpire collaboratori, dipendenti e dirigenti per estrapolare dati preziosi.
Ovviamente una buona parte dei deepfake è correlata al mondo delle criptovalute, vista la componente di pseudo-anonimato che gli stessi scammer sfruttano per monetizzare.
Esistono, però, anche dei sistemi di sicurezza, come quello della verifica KYC degli exchange, che impediscono all’AI di essere sfruttata mal intenzionalmente.
Le piattaforme di scambio utilizzano la KYC per la registrazione dei nuovi utenti, richiedendo foto, video ed analisi biometrica del volto e presentando barriere anti deepfake.
Così gli exchange limitano che il proprio banco possa essere sfruttato per illeciti come riciclaggio di denaro e vendita di proventi scam.
Ora però, stiamo entrando in una nuova fase delle truffe AI, con tecnologie super sofisticate che riescono talvolta a colpire anche i più grandi crypto exchange.
I danni potenziali che possono causare sono illimitati, se non verranno bloccati con nuove misure di contrasto.
Un nuovo strumento deepfake basato su AI capace di bypassare la KYC degli exchange di criptovalute
Come affermato dalla società di sicurezza informatica Cato Networks, si sta diffondendo uno strumento AI di creazione deepfake che riesce ad eludere i controlli KYC degli exchange.
Si tratta di ProKYC, un tool scaricabile con un abbonamento da 629 dollari annuali, dal quale i truffatori possono creare ID falsi e generare video pseudo-reali.
Il pacchetto comprende una fotocamera, un emulatore virtuale, animazioni facciali, impronte digitali e generazione di foto di verifica.
Lo strumento è stato personalizzato proprio per le società finanziarie i cui protocolli KYC richiedono un controllo incrociato tra controlli biometrici del volto e documenti.
Le prove sembrano così reali che riescono ad oltrepassare questa barriera fino ad oggi mai varcata neppure dai migliori sistemi AI.
Un deepfake creato con ProKYC e pubblicato sul blog post di Cato, mostra come l’AI riesca a generare documenti ID falsi bypassando l’exchange Bybit.
L’utente completa la verifica KYC della piattaforma utilizzando un nome fittizio, un documento falso e un video artificiale.
In un recente rapporto, il capo della sicurezza di Cato Network Etay Maor ha affermato che ProKYC si propone come un nuovo livello di sofisticazione delle truffe finanziarie.
Il nuovo strumento AI rappresenta un significativo passo avanti rispetto ai metodi vecchio stile che i criminali informatici usavano per battere l’autenticazione a due fattori e KYC.
Gli scammer non sono più tenuti ad acquistare identità false (o rubate) sul deepweb ma possono usufruire di questo nuovo comodo servizio.
Aumentano massicciamente le frodi di identità nel mondo crypto con AI e data breach
L’avvento di ProKYC con deepfake AI che eludono le verifiche KYC degli exchange, rischia di portare ad un aumento truffe finanziarie, già di per sé pericolosamente elevate.
Gli attori sono ora infatti in grado di creare molteplici account sugli exchange grazie ad una funzione nota come New Account Fraud (NAF).
Inoltre ProKYC afferma di essere anche in grado di aggirare le misure KYC per le piattaforme di pagamento Stripe e Revolut.
Inevitabilmente se le piattaforme finanziarie non svilupperanno nuovi sistemi di riconoscimento contro i deepfake potrebbero subire gravi danni alle proprie strutture.
Il problema è che controlli biometrici troppo severi rischiano di provocare “falsi positivi” rendendo dannatamente fastidiosa l’esperienza utente.
Come afferma a tal proposito Cato:
“La creazione di sistemi di autenticazione biometrica super restrittivi può comportare molti avvisi falsi positivi. D’altra parte, i controlli lassisti possono provocare frodi.”
Esistono tuttavia metodi di rilevamento alternativi contro gli strumenti deepfake AI, che coinvolgono la presenza di un essere umano come controllore.
Un addetto dell’exchange dovrebbe manualmente identificare immagini e video, identificano incoerenze nei movimenti del viso e nella qualità dell’immagine.
Discorso a parte invece per i data breach e per le fughe di identità, che sfruttano documenti e prove reali per lanciare una vasta gamme di truffe online.
Proprio pochi giorni fa la società di investimento Fidelity ha subito una fuga di dati per oltre 77.000 clienti. Sono stati rubati patenti, numeri di previdenza sociale e informazioni personali, che verranno sicuramente venduti sul dark web ed utilizzati per varie tipologie di scam crypto.
Ricordiamo ad ogni modo che le sanzioni per frode d’identità negli Stati Uniti possono essere severe e variare a seconda della natura e dell’entità del crimine.
La pena massima è fino a 15 anni di reclusione con multe pesanti.
