L’idea che i malintenzionati possano utilizzare ChatGPT come strumento di phishing per ingannare le persone e indurle a fornire i loro dati personali, come password e numeri di carte di credito, è sempre più preoccupante. La capacità dell’intelligenza artificiale di generare testo che assomiglia al parlato umano, lo rende uno strumento ideale per impersonare aziende e organizzazioni legittime nel tentativo di rubare informazioni personali a vittime ignare.
Come ChatGPT aumenta il rischio di phishing
Si consideri che, a partire da una semplice richiesta di testo, ChatGPT potrebbe essere utilizzato per generare un’e-mail o un messaggio che sembra provenire da un noto istituto finanziario come una banca. Come è tipico delle tecniche di phishing, il testo può contenere una falsa richiesta al destinatario di fornire informazioni come il numero di conto e la password. Spesso si cerca di far rivelare alla vittima informazioni personali o finanziarie, come le risposte alle domande di sicurezza. ChatGPT è abbastanza sofisticato da far sì che il testo generato dal modello sia accuratamente realizzato per apparire autentico e affidabile, rendendo più facile per l’autore del reato convincere il destinatario a fornire le proprie informazioni.
Ancora più dannoso è quando ChatGPT viene utilizzato insieme a OpenAI Codex, un altro modello linguistico che è stato addestrato sul linguaggio di programmazione Python utilizzando milioni di repository GitHub, che sono codici pubblicamente disponibili per una varietà di programmi. Da una semplice richiesta di testo, i malintenzionati potrebbero usare di questi strumenti per produrre malware da iniettare in un’e-mail o in un messaggio di phishing, o altro codice dannoso che potrebbe anche tentare di rubare i dati di accesso.
Inoltre, non esiste ancora un modo definitivo per determinare quale testo sia stato generato da strumenti di intelligenza artificiale e quale sia stato prodotto da un essere umano. A differenza dei deepfake e di altre immagini generate con l’IA, il testo non include molti artefatti identificabili. Ad esempio, i generatori di immagini basati sull’IA possono avere difficoltà a disegnare correttamente le mani, per cui è possibile notare un dito in più su alcune immagini. Inoltre, possono avere difficoltà nella resa di oggetti dettagliati come i gioielli. Il testo generato dall’intelligenza artificiale, invece, non presenta lo stesso tipo di problemi. Le e-mail come quelle descritte sopra sono quasi indistinguibili da quelle autentiche di aziende fidate, a parte il fatto che possono chiedere di rivelare informazioni sensibili.
Come difendersi dai tentativi di phishing assistiti dall’intelligenza artificiale
Per proteggersi da questo tipo di attacchi di phishing, le persone dovrebbero prestare attenzione alle e-mail o ai messaggi che richiedono informazioni personali.
Prima di rispondere a tali richieste, bisogna verificare l’autenticità del mittente e assicurarsi di comunicare con una fonte legittima.
Inoltre, è bene tenere presente che queste e-mail di solito cercano di suscitare un senso di urgenza, ad esempio minacciando che un nostro account potrebbe essere bloccato. Questi sono segni rivelatori di un tentativo di phishing, anche se non sempre, quindi assicuratevi di esaminare attentamente il mittente, il contenuto dell’e-mail e di trattare con cautela qualsiasi link e allegato incorporato.
È inoltre importante che le aziende e le organizzazioni siano consapevoli di questa potenziale minaccia e che istruiscano i propri dipendenti su come individuare le truffe di phishing. Questo può contribuire a ridurre il rischio che le informazioni sensibili finiscano nelle mani di hacker che utilizzano strumenti come ChatGPT per scopi malevoli.
Come trasformare il comportamento delle persone
Se l’intelligenza generativa permette agli hacker di perpetrare attacchi più numerosi e sofisticati, l’adozione di comportamenti corretti e consapevoli è l’arma più potente a disposizione delle aziende.
Per sconfiggere il nemico e mitigare i rischio, occorre attivare quindi un percorso di apprendimento permanente rivolto all’intera popolazione aziendale.
(Fonte: agendadigitale, cybersecurity360)
