L’uso di ChatGPT per scopi malevoli non è una novità: ancora dallo scorso marzo, difatti, l’Europol ha lanciato avvertimenti in tutto il mondo per l’uso del chatbot firmato OpenAI per attività illegali, prevalentemente correlate al furto di informazioni sensibili dei cittadini. Propaganda, disinformazione e scrittura di codice per malware sono solo alcune delle mansioni pericolose per le quali ChatGPT viene sfruttata. Il pericolo più grave riguarda le mail di phishing, come evidenziato da una nuova serie di analisi condotte da Zscaler.
ChatGPT usato per phishing
Il gruppo di ricercatori ha pubblicato un rapporto che indica l’aumento degli attacchi di phishing a livello globale, per l’esattezza del 47,2%, tra SMS, e-mail e attacchi Paas (Phishing-as-a-Service). I settori presi più di mira sono i seguenti:
- Istruzione (25,1%)
- Finanza e assicurazioni (16,6%)
- Governo (13,8%)
- Altro (10,5%)
- Sanità (8,9%)
- Produzione (8,8%)
- Vendita al dettaglio all’ingrosso (6,4%)
- Servizi (5,7%)
- Comunicazione (4,1%)
Come viene usato, dunque, ChatGPT per condurre queste offensive? Stando al report, gli attori delle minacce sfruttano strumenti come i chatbot e soluzioni avanzate potenziate da IA per generare messaggi o addirittura campagne intere, cosicché i cybercriminali abbiano pochi step aggiuntivi da fare al fine di colpire i malcapitati nel loro mirino.
Con le abilità di ChatGPT nella stesura di testi senza errori ortografici e grammaticali, impersonando anche individui specifici adottando uno stile di scrittura simile al loro, i malintenzionati possono convincere le vittime della loro affidabilità in men che non si dica, procedendo infine con il furto di dati o l’installazione di malware nei dispositivi bersaglio.
Già Europol aveva evidenziato la necessità di sforzi ulteriori sul fronte prevenzione delle IA, agendo contro il loro uso illecito con largo anticipo, ma il problema sembra diffondersi ancora, allarmando sempre più analisti e utenti. Zscaler riporta, alla stessa maniera, la necessità di implementare una politica Zero-Trust per verificare ogni rete, utente, applicazione e dispositivo prima che siano autorizzati ad accedere ai dati sensibili.