What happened in the $25 million deepfake fraud case?

In February 2024, a finance employee at a Hong Kong multinational was tricked into transferring $25 million after attending a video call where every other participant was an AI-generated deepfake. The attackers recreated the voices and appearances of the company's CFO and several colleagues using publicly available video and audio. The employee followed instructions from what appeared to be trusted executives in a live group call.

How can you detect a deepfake during a video call?

Watch for subtle visual artifacts: unnatural eye blinking patterns, lighting inconsistencies between the face and background, blurred edges around the hairline or jawline, and lip movements slightly out of sync with speech. Ask unexpected questions that require spontaneous responses. Establish a verification code word for high-value requests. If a video call involves financial approvals, confirm the decision through a separate authenticated channel afterward.

Why are deepfake attacks targeting executives increasing?

Executives have abundant public video and audio from conferences, interviews, and social media, giving attackers training data for AI models. Tools for generating convincing deepfakes are increasingly accessible and affordable. The targets of whaling attacks typically have authority to approve large transactions. As remote work normalizes video calls for financial decisions, the attack surface for this type of fraud continues to grow.

Whaling con un Deepfake

Spot an AI-generated executive on a video call.

Cos’è Whaling con un Deepfake?

Il whaling abilitato dai deepfake combina l'impersonazione di dirigenti con audio e video generati dall'IA per creare attacchi quasi impossibili da rilevare a vista e udito. Nel febbraio 2024, un impiegato finanziario di una multinazionale a Hong Kong ha trasferito 25 milioni di dollari dopo una videochiamata con quello che sembrava essere il CFO dell'azienda e diversi colleghi. Ogni persona nella chiamata era un deepfake. Questo non e un rischio teorico. Sta accadendo adesso. In questa simulazione, partecipi a una videoconferenza in cui un dirigente senior fa una richiesta finanziaria urgente. Il viso, la voce e i manierismi appaiono autentici. Lo sfondo, l'illuminazione e la qualita audio sembrano tutti normali. Il dirigente fa riferimento a progetti reali e usa un linguaggio familiare. Ma qualcosa non va, e devi capire cos'e prima di autorizzare un trasferimento che non puo essere annullato. Imparerai a identificare le limitazioni attuali della tecnologia deepfake: sottili incoerenze nella sincronizzazione labiale, schemi di movimento oculare innaturali, artefatti audio durante certi fonemi e risposte che non seguono completamente la conversazione spontanea. Piu importante, praticherai le difese procedurali che funzionano anche quando la tecnologia e perfetta. Queste includono la verifica fuori banda attraverso una telefonata separata al numero conosciuto del dirigente, parole d'ordine prestabilite per transazioni di alto valore, autorizzazione obbligatoria multi-persona per i trasferimenti di fondi e una policy permanente che nessuna azione finanziaria viene mai autorizzata esclusivamente attraverso una videochiamata.

Cosa imparerai in Whaling con un Deepfake

Identificare gli artefatti visivi e audio attuali nei video deepfake tra cui ritardi nella sincronizzazione labiale, movimenti oculari innaturali e distorsione dei fonemi
Applicare la verifica fuori banda chiamando il numero telefonico conosciuto del dirigente su un dispositivo separato per confermare le richieste della videochiamata
Implementare controlli procedurali incluse parole d'ordine prestabilite e autorizzazione multi-persona che sconfiggono i deepfake indipendentemente dalla qualita
Riconoscere che nessuna transazione finanziaria dovrebbe mai essere autorizzata esclusivamente attraverso una videochiamata, indipendentemente da chi appare sullo schermo
Distinguere tra videochiamate deepfake in tempo reale e messaggi vocali deepfake pre-registrati utilizzati in attacchi combinati di whaling e vishing

Whaling con un Deepfake — Fasi della formazione

Introduzione

È un venerdì pomeriggio impegnativo. La partenza di Alice è prevista per una vacanza di due settimane in Europa a partire da lunedì mattina e ci sono numerosi rapporti finanziari da finalizzare e approvazioni da completare prima della sua partenza. È seduta alla scrivania e esamina le allocazioni di budget trimestrali sul suo laptop. Il suo calendario mostra riunioni consecutive per il resto della giornata e la sua casella di posta elettronica mostra 47 messaggi non letti. Prende un sorso di caffè e sospira, sapendo che sarà una lunga serata per recuperare il lavoro.
Un invito a una riunione inaspettata

La notifica via email di Alice suona. Apre la sua applicazione di posta elettronica e vede un nuovo messaggio proveniente da quella che sembra essere l'e-mail del CEO con oggetto 'URGENTE: riunione riservata del consiglio di amministrazione - richiesta attenzione immediata'
Partecipazione alla riunione Zoom

Nonostante si senta un po' affrettata, Alice nota l'urgenza nel tono del CEO e clicca immediatamente sul collegamento Zoom. La riunione si carica rapidamente e lei vede quello che sembra essere Michael Thompson davanti alla telecamera. La qualità del video sembra leggermente pixelata, ma Alice attribuisce questo a problemi di rete.
Partecipazione alla videochiamata

Alice si unisce alla chiamata. Non sa che l'intera chiamata è un video preregistrato potenziato dall'intelligenza artificiale e che il volto del CEO che appare sullo schermo è in realtà un deepfake generato dall'intelligenza artificiale. Il CEO inizia a parlare immediatamente. La voce suona esattamente come quella di Michael Thompson e i lineamenti del viso sono convincenti nonostante alcuni piccoli artefatti video.
L'acquisizione segreta

Michael ha informato i partecipanti alla chiamata che la società sta acquisendo segretamente TechFlow Industries e richiede una risposta rapida. Il consiglio ha approvato l’accordo, ma il dipartimento finanziario dovrà organizzare un bonifico di 2,8 milioni di dollari prima della fine della giornata per garantire il deposito. La questione è altamente confidenziale e presto verranno forniti i dettagli bancari. L'amministratore delegato ha sottolineato di non contattarli direttamente, poiché sarà occupato in continui incontri legali per il resto della giornata.
Arrivano le istruzioni per il bonifico

Venti minuti dopo arriva un'altra email dallo stesso indirizzo del mittente. Alice è ancora alla scrivania e sta cercando di concludere i preparativi per le vacanze.
Accesso al sistema di pagamento

Alice accede al portale finanziario di Nexlify e avvia un bonifico bancario sui dettagli del conto bancario forniti nell'e-mail di Michael.
Invio dei dettagli del trasferimento

Inserisce tutti i dettagli bancari contenuti nell'e-mail: il nome del beneficiario 'TechFlow Acquisition Holdings LLC', il numero di conto, il numero di routing e l'importo di $ 2.850.000. Alice ricontrolla i numeri rispetto all'e-mail e procede con l'autorizzazione. La transazione è stata inviata con successo e verrà elaborata entro 24 ore. Si sente soddisfatta per aver gestito questa richiesta urgente in modo efficiente prima della sua vacanza.
L'e-mail del vero CEO

Tre ore dopo, mentre Alice sta per lasciare l'ufficio per il fine settimana, riceve un'altra email. Questa volta proviene dall'effettivo indirizzo email del vero CEO.
La realizzazione

Alice torna a rivedere la precedente email del CEO. Qualcosa non sembra giusto. Esamina più attentamente l'indirizzo e-mail del mittente.

Cos’è Whaling con un Deepfake?

Cosa imparerai in Whaling con un Deepfake

Whaling con un Deepfake — Fasi della formazione

Introduzione

Un invito a una riunione inaspettata

Partecipazione alla riunione Zoom

Partecipazione alla videochiamata

L'acquisizione segreta

Arrivano le istruzioni per il bonifico

Accesso al sistema di pagamento

Invio dei dettagli del trasferimento

L'e-mail del vero CEO

La realizzazione