Domenica 23 Giugno 2024

Chat Gpt: problemi e truffe. Gli attacchi di spear phishing: quali rischi ci sono

La società di cybersicurezza Ermes sta lavorando a uno strumento per tutelare le aziende dalla diffusione di informazioni e dati confidenziali

ChatGPT (Afp)

ChatGPT (Afp)

Lanciato a novembre dell’anno scorso, ChatGpt sta spopolando. Il chatbot basato sull’intelligenza artificiale e creato dalla società American OpenAI, l'organizzazione non-profit di ricerca sull'intelligenza artificiale, è infatti una delle scoperte più sensazionali degli ultimi anni. Accedendo al sito web di America OpenAI è possibile conversare con una “persona virtuale”, un'intelligenza artificiale programmata per rispondere a qualsiasi quesito, grazie ad un sofisticato modello di machine learning che possiede un’alta capacità di apprendimento automatico. Ma se l’entusiasmo intorno a questa nuova tecnologia è contagioso, non vanno sottovalutati i rischi.

ChatGpt ha infatti già attirato a sé molti cyber criminali, che hanno realizzato delle copie pressoché identiche del sito o dell’app, scaricabili dagli store ufficiali. Ma il problema più grave è un altro. Attraverso domande specifiche e costruite ad arte, infatti, Chat Gpt è lo strumento perfetto per chi vuole realizzare i cosiddetti attacchi di spear phishing. Si tratta di attacchi iper personalizzati, calibrati sulle informazioni che gli utenti, senza accorgersene, condividono sui loro account social e attraverso la navigazione quotidiana su pc e mobile. In questo modo i cyber criminali utilizzano quindi l’intelligenza artificiale per costruire un contenuto ingannevole, creato ad hoc per la persona a cui si rivolgono.

"Considerando che è un modello che si evolverà molto velocemente, perché uscirà un’evoluzione nei prossimi mesi che avrà ancora più fonti da cui trarre le proprie risposte, le potenzialità di Chat Gpt sono abnormi" spiega a QN Lorenzo Asuni, Chief Marketing Officer di Ermes - Cybersecurity, eccellenza italiana di Cybersicurezza. "Allo stesso tempo, però, i rischi sono grandissimi. Come si può immaginare, ora tutti corrono per utilizzarlo ma lo fanno senza avere l’educazione adeguata. Quindi vengono consegnate informazione sensibili di società, email aziendali eccetera. È insomma un volontario 'data breach' (una violazione di dati, con conseguente diffusione in un ambiente non affidabile di informazioni protette o private, ndr)" prosegue Asuni.

Le tipologie di rischi a cui bisogna prestare attenzione sono tre. Innanzitutto, la nascita di siti di phishing (un tipo di truffa attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso) che sfruttano l’entusiasmo generato da ChatGPT. Nelle ultime settimane se ne contano già centinaia. Riconoscerli non è facilissimo: hanno domini simili e aspetto delle pagine web o delle applicazioni pressoché identico. L’obiettivo è rubare le credenziali e le informazioni fornite in fase di registrazione. Ci sono poi gli attacchi di spear phishing, ovvero una truffa realizzata attraverso comunicazioni elettroniche o mail estremamente personalizzate volte a chiedere denaro, rubare dati personali o credenziali. Infine, uno dei pericoli maggiori deriva dalla condivisione di informazioni sensibili dell’azienda presso cui si lavora, con la richiesta continua di contenuti, risposte ed analisi. Come avviene questo? Ad esempio con un semplice "rispondi a questa mail" dimenticandosi di escludere l’email del destinatario o del mittente, oppure dando in pasto a queste nuove tecnologie dati economici o nomi di clienti o di partner. Un esempio è dato dal cosiddetto Bec, ovvero Business Email Compromise. Attraverso questo sistema, gli aggressori utilizzano un modello per generare un'email ingannevole, che spinge un destinatario a fornire informazioni sensibili. Con l'aiuto di ChatGpt, infatti, gli hacker hanno la possibilità di personalizzare ogni comunicazione, creando così contenuti unici, cosa che rende questi attacchi più difficili da riconoscere.

Per contrastare questo fenomeno crescente e sempre più insidioso, Ermes - Cybersecurity sta mettendo a punto un sistema di Intelligenza artificiale. "Le aziende ed i dipendenti, come sta accedendo oggi con ChatGpt, si affideranno sempre di più a servizi terzi o tecnologie abilitanti basate su AI. Per questo stiamo monitorando e sviluppando con Ermes uno strumento che certamente permetta di usarle, ma che lo faccia in sicurezza attraverso filtri e blocchi della condivisione di tutte quelle informazioni sensibili come email, password o dati economici, che per errore possiamo inserire nelle nostre richieste a questi servizi" sottolinea Asuni. "Siccome abbiamo individuato questo hype già a novembre - dicembre, dal momento che diversi dipendenti dei nostri clienti hanno iniziato a usare ChatGpt, ci siamo resi conto che occorreva schermare in un certo senso da questi rischi. Noi già lo facciamo sulla parte di phishing, bloccando i siti. Inoltre, un’altra cosa che facciamo già è controllare che informazioni o dati aziendali non vengano veicolati in modo troppo disinvolto" prosegue Asuni. "In ogni società esistono delle policy per l’utilizzo delle credenziali e quindi non si possono usare le credenziali aziendali per entrare in siti non autorizzati. Noi inibiamo l’utilizzo di queste credenziali e blocchiamo la registrazione. Per quanto riguarda ChatGpt, siamo ancora in fase di testing. Ma stiamo lavorando a uno strumento che permetta di verificare che nelle richieste fatte non ci siano dati o informazioni catalogate dall’azienda come a rischio. In pratica, le richieste vengono depurate dalle informazioni aziendali: clienti, email, dati economici. Insomma, se sulla parte delle credenziali già siamo in grado di inibirne l’uso su qualunque tipologia di sito, compreso Chat Gpt, sulla parte di contenuto ci stiamo ancora lavorando. Entro i prossimi due mesi metteremo in testing questa tecnologia sui nostri clienti. E poi la lanceremo sul mercato", conclude Asuni.