Da quando sono diventati accessibili, ChatGPT e altre intelligenze artificiali simili si sono trasformati in potenti alleati per la produttività di molti professionisti. Sfortunatamente, anche i cybercriminali sembrano averli sfruttati per affinare le loro tecniche di phishing. Questo è quanto emerge dai dati diffusi da SlashNext nel suo Rapporto sullo Stato del Phishing 2023.
The 12-month period from Q4 2022 to Q3 2023 saw a 1,265% increase in malicious #phishing emails. Learn more about this and other findings from our new State of Phishing Report for 2023: https://t.co/m8DpWivDKa pic.twitter.com/JFf8En1PDc
— SlashNext (@slashnextinc) October 30, 2023
Lo studio rivela che, tra l’ultimo trimestre del 2022 (quando è stato introdotto ChatGPT) e oggi, il numero dei messaggi di phishing è cresciuto del 1.265%. Come promemoria, questo tipo di attacco consiste nel mandare comunicazioni ingannevoli ai destinatari per sottrarre informazioni sensibili, come le password.
L’AI generativa favorisce il phishing
Patrick Harr, CEO di SlashNext, afferma che queste statistiche sono allarmanti. “Sebbene si sia discusso sulla reale influenza dell’IA generativa sull’attività dei criminali informatici, abbiamo scoperto dalla nostra ricerca che gli hacker usano strumenti come ChatGPT per creare messaggi di phishing sofisticati e personalizzati, mirati a compromettere le e-mail aziendali e altre comunicazioni. Un incremento del volume di queste minacce di oltre il 1.000% che coincide con il periodo in cui ChatGPT è stato rilasciato non è un caso”, dichiara.
Ciò significa che gli hacker possono inviare molti più messaggi fraudolenti usando ChatGPT per scriverli. Sebbene le aziende che sviluppano questi modelli di intelligenza artificiale, come OpenAI, stiano cercando di prevenire il loro uso malevolo, esistono ancora modi per eludere queste limitazioni.
Il phishing si combatte con le passkey
Secondo lo studio di SlashNext, ogni giorno si verificano 31.000 attacchi di phishing. Il 68% di tutte le e-mail di phishing rilevate appartiene alla categoria BEC o Business Email Compromise, che mira a ingannare le aziende per ottenere accesso ai loro sistemi o ai loro fondi. Tuttavia, c’è una buona notizia: le e-mail di phishing, nonostante siano sempre più diffuse, potrebbero presto perdere la loro efficacia per rubare le password, grazie all’introduzione delle passkeys.
Le passkeys sono un nuovo metodo di autenticazione che non richiede l’uso delle password, ma si basa su un sistema di chiavi crittografiche. Questo sistema funziona in questo modo: quando un utente si registra a un sito web, genera una coppia di chiavi, una pubblica e una privata. La chiave pubblica viene inviata al sito web, mentre la chiave privata viene memorizzata sul dispositivo dell’utente. Quando l’utente vuole accedere al sito web, il sito web invia una sfida crittografica che può essere risolta solo con la chiave privata dell’utente. In questo modo, l’utente dimostra la sua identità senza dover inserire una password.
Uno dei vantaggi di questo sistema è che rende molto più difficile il phishing e le fughe di dati. Infatti, con le passkey non c’è più una password da rubare con i messaggi fraudolenti, né da esporre in caso di violazione dei server dei siti web utilizzati. Inoltre, le passkeys sono più comode e sicuri delle password, poiché non richiedono di essere ricordate o cambiate periodicamente.