ChatGPT come arma? Perché potrebbe essere necessario alzare il livello delle difese anti-phishing

Storia successiva

Nelle mani sbagliate, il potente chatbot (ora integrato anche nel motore di ricerca Bing) e le tecnologie simili potrebbero essere utilizzate impropriamente dai truffatori, contribuendo così a "democratizzare" la criminalità informatica alle masse. Offrendo un modo abbastanza economico e automatizzato per creare campagne di truffa di massa, potrebbe essere l'inizio di una nuova ondata di attacchi di phishing più convincenti.

Armamento di un chatbot

ChatGPT si basa sulla famiglia di "modelli linguistici di grandi dimensioni" GPT-3 di OpenAI. Come tale, è stato accuratamente addestrato per interagire con gli utenti con un tono colloquiale, stupendo molti con le sue risposte naturalistiche. Il prodotto è ancora agli inizi, ma alcuni segnali iniziali sono preoccupanti.

Sebbene OpenAI abbia inserito nel prodotto delle protezioni per impedirne l'uso a fini nefasti, queste non sembrano essere sempre efficaci o coerenti. Tra le altre cose, è stato affermato che una richiesta di scrivere un messaggio in cui si chiedeva aiuto finanziario per fuggire dall'Ucraina è stata segnalata come una truffa e negata. Ma una richiesta separata di aiutare a scrivere una falsa e-mail che informava un destinatario di aver vinto la lotteria ha avuto il via libera. Secondo altre notizie, sono falliti anche i controlli volti a impedire agli utenti di alcune regioni di accedere all'interfaccia di programmazione delle applicazioni (API) dello strumento.

 

Si tratta di una cattiva notizia per gli utenti di Internet di tutti i giorni; infatti, i criminali informatici sono stati avvistati a sfruttare ChatGPT per scopi malevoli in diverse occasioni. Questi sviluppi potrebbero mettere nelle mani di un numero molto maggiore di persone, rispetto al passato, la capacità di lanciare cyberattacchi e truffe su larga scala, persuasivi, privi di errori e persino mirati, come le frodi con compromissione delle email aziendali (BEC).

Infatti, la maggior parte (51%) dei responsabili della sicurezza informatica prevede che entro un anno la ChatGPT sarà utilizzata per un attacco informatico di successo.

Un chiaro risultato è che tutti noi dobbiamo migliorare nell'individuare i segni rivelatori delle truffe online e prepararci a un potenziale aumento delle e-mail dannose. Ecco alcune cose da tenere d'occhio:

Segni che molto probabilmente state leggendo un'e-mail di phishing

1) Contatto non richiesto: I messaggi di phishing di solito appaiono all'improvviso. Certo, anche le missive di marketing aziendale possono sembrare piuttosto improvvise. Ma quando un'e-mail non richiesta proveniente da una banca o da un'altra organizzazione compare nella vostra casella di posta, dovreste automaticamente essere in allerta per attività potenzialmente sospette, tanto più se contiene un link o un allegato.

2) Link e allegati: Come già accennato, uno dei metodi classici utilizzati dai truffatori per raggiungere i propri scopi è l'inserimento di link o file dannosi nelle e-mail. Questi potrebbero installare segretamente malware sul vostro dispositivo o, nel caso dei link, portarvi a una pagina di phishing in cui vi verrà chiesto di inserire informazioni personali. Evitate di cliccare sui link, scaricare file o aprire allegati nei messaggi, anche se sembrano provenire da una fonte nota e affidabile, a meno che non abbiate verificato con il mittente attraverso altri canali l'autenticità del messaggio.

3) Richiesta di informazioni personali e finanziarie: Qual è l'obiettivo finale di un attacco di phishing? A volte si tratta di convincere il destinatario a installare involontariamente un malware sul suo computer. Ma nella maggior parte dei casi si tratta di ingannare il destinatario per fargli consegnare informazioni personali. Queste vengono solitamente vendute sui mercati del dark web e poi messe insieme per commettere furti di identità e frodi. Potrebbe trattarsi, ad esempio, della richiesta di una nuova linea di credito a vostro nome o del pagamento di un articolo con i dati della vostra carta.

4) Tattiche di pressione: Il cuore del phishing è una tecnica nota come ingegneria sociale, che è essenzialmente l'arte di far fare agli altri ciò che si vuole attraverso la persuasione e lo sfruttamento dell'errore umano. Creare un senso di urgenza è una classica tattica di ingegneria sociale, ottenuta dicendo alla vittima che ha solo un tempo limitato per rispondere, altrimenti verrà multata o perderà la possibilità di vincere qualcosa.

5) Qualcosa di "gratuito": Se qualcosa sembra troppo bello per essere vero, di solito lo è. Tuttavia, questo non impedisce alle persone di innamorarsi sempre di omaggi inesistenti. Un esempio classico è rappresentato dai generosi "regali" offerti agli utenti in cambio della partecipazione a sondaggi, in cui devono fornire informazioni personali e/o finanziarie. Inutile dire che la vittima non riceve mai l'iPhone, la carta regalo, il denaro o qualsiasi altro oggetto promesso.

6) Missione errata tra mittente e dominio reale: I phisher spesso cercano di far sembrare il loro indirizzo e-mail come se provenisse da una fonte legittima, mentre in realtà non è così. Ad esempio, passando il mouse sul dominio del mittente è spesso possibile vedere il vero indirizzo e-mail che lo ha inviato. Se i due non corrispondono e/o se quello sottostante è una lunga combinazione di caratteri casuali, è molto probabile che si tratti di una truffa.

7) Saluti poco familiari o generici: Gli attori del phishing cercano di impersonare persone di organizzazioni legittime nel tentativo di creare fiducia nelle loro vittime. Ma non sempre sanno quale sia il tono giusto da usare quando inviano un'e-mail. Se siete abituati a essere chiamati per nome da un'azienda, ma poi vedete un'e-mail più formale, dovreste allarmarvi, e viceversa. Inoltre, nessuna banca o organizzazione legittima vi invierà un'e-mail da un indirizzo che termina con @gmail.com.

8) Sfruttare eventi attuali o emergenze: Un'altra tecnica classica di ingegneria sociale è quella di sfruttare eventi di attualità o emergenze per convincere i destinatari a cliccare. Questo è il motivo per cui le e-mail di phishing sono aumentate durante il COVID-19 e anche perché i criminali hanno messo in atto truffe di beneficenza subito dopo l'invasione dell'Ucraina da parte della Russia. Siate sempre scettici nei confronti dei messaggi che citano eventi di attualità.

 

9) Richieste insolite: Allo stesso modo, fate attenzione alle e-mail in cui il mittente fa richieste insolite. Potrebbe trattarsi, ad esempio, della vostra banca che vi chiede di confermare i vostri dati personali e finanziari via e-mail o testo, cosa che una vera banca non farebbe mai. Qualsiasi e-mail che si apre con "Gentile cliente" o "Gentile [indirizzo e-mail]" dovrebbe farvi suonare il campanello d'allarme.

10) Richiesta di denaro: Il phishing consiste nel raccogliere informazioni personali e/o installare malware. Ma alcune truffe sono ancora più dirette. Va da sé che non dovreste mai accettare di consegnare denaro a qualcuno che vi invia un messaggio non richiesto, anche se viene descritto come una "tassa" per sbloccare una consegna o un premio in denaro.

Gli errori grammaticali possono essere un ricordo del passato grazie a strumenti come ChatGPT. Ma fortunatamente esistono molti altri segnali di allarme che ci mettono in guardia da possibili truffe. Prendete tempo online e pensate sempre a cosa ha spinto un individuo a inviare un determinato messaggio.