I criminali informatici stanno sfruttando strumenti di intelligenza artificiale come ChatGPT per creare attacchi di phishing più convincenti, allarmando gli esperti di sicurezza informatica
Pubblicato: 2023-12-02Se hai notato un picco di email dall'aspetto sospetto nell'ultimo anno circa, potrebbe essere in parte dovuto a uno dei nostri chatbot IA preferiti: ChatGPT. Lo so, molti di noi hanno avuto conversazioni intime e private in cui abbiamo imparato a conoscere noi stessi con ChatGPT e non vogliamo credere che ChatGPT possa aiutarci a truffarci.
Secondo la società di sicurezza informatica SlashNext, ChatGPT e i suoi gruppi di intelligenza artificiale vengono utilizzati per inviare e-mail di phishing a un ritmo accelerato. Il rapporto si basa sulle competenze dell'azienda in materia di minacce e ha intervistato più di trecento professionisti della sicurezza informatica in Nord America. Vale a dire, si sostiene che le e-mail di phishing dannose sono aumentate del 1.265% - in particolare il phishing delle credenziali, che è aumentato del 967% - dal quarto trimestre del 2022. Il phishing delle credenziali prende di mira le tue informazioni personali come nomi utente, ID, password o pin personali impersonando un persona, gruppo o organizzazione di fiducia tramite e-mail o un canale di comunicazione simile.
Gli autori malintenzionati utilizzano strumenti di intelligenza artificiale generativa, come ChatGPT, per comporre messaggi di phishing raffinati e specificamente mirati. Oltre al phishing, i messaggi BEC (Business Email Compromise) sono un altro tipo comune di truffa dei criminali informatici, che mira a frodare le aziende. Il rapporto conclude che queste minacce alimentate dall’intelligenza artificiale si stanno diffondendo a una velocità vertiginosa, crescendo rapidamente in volume e in quanto sono sofisticate.
Il rapporto indica che gli attacchi di phishing sono stati in media pari a 31.000 al giorno e circa la metà dei professionisti della sicurezza informatica intervistati ha riferito di aver ricevuto un attacco BEC. Per quanto riguarda il phishing, il 77% di questi professionisti ha riferito di aver ricevuto attacchi di phishing.
Intervengono gli esperti
Il CEO di SlashNext, Patrick Harr, ha affermato che questi risultati "consolidano le preoccupazioni sull'uso dell'intelligenza artificiale generativa contribuendo a una crescita esponenziale del phishing". Ha spiegato che la tecnologia generativa dell’intelligenza artificiale consente ai criminali informatici di potenziare la velocità con cui lanciano gli attacchi, aumentando allo stesso tempo la varietà dei loro attacchi. Possono produrre migliaia di attacchi di ingegneria sociale con migliaia di varianti e basta caderne solo uno.
Harr continua puntando il dito contro ChatGPT, che ha visto una crescita epocale verso la fine dello scorso anno. Secondo lui, i robot con intelligenza artificiale generativa hanno reso molto più facile per i principianti entrare nel gioco del phishing e delle truffe, e ora sono diventati uno strumento in più nell'arsenale di chi è più abile ed esperto, che ora può ampliare e mirare i propri attacchi in modo più efficace. facilmente. Questi strumenti possono aiutare a generare messaggi più convincenti e formulati in modo persuasivo che i truffatori sperano possano catturare le persone.
Chris Steffen, direttore della ricerca presso Enterprise Management Associates, lo ha confermato parlando alla CNBC, affermando: "Sono finiti i giorni del 'Principe della Nigeria'". Ha continuato spiegando che le e-mail ora sono “estremamente convincenti e legittime”. I cattivi attori imitano e impersonano in modo persuasivo gli altri con tono e stile, o addirittura inviano corrispondenza dall'aspetto ufficiale che sembra provenire da agenzie governative e fornitori di servizi finanziari. Possono farlo meglio di prima, utilizzando strumenti di intelligenza artificiale per analizzare gli scritti e le informazioni pubbliche di individui o organizzazioni per personalizzare i loro messaggi, facendo sembrare le loro e-mail e comunicazioni reali.
Inoltre, ci sono prove che queste strategie stanno già ottenendo risultati per i cattivi attori. Harr fa riferimento all'Internet Crime Report dell'FBI, in cui si sostiene che gli attacchi BEC sono costati alle aziende circa 2,7 miliardi di dollari, insieme a 52 milioni di dollari di perdite dovute ad altri tipi di phishing. Il Motherlode è redditizio e i truffatori sono ulteriormente motivati a moltiplicare i propri sforzi di phishing e BEC.
Cosa servirà per sovvertire le minacce
Alcuni esperti e giganti della tecnologia si oppongono, con Amazon, Google, Meta e Microsoft che si sono impegnati a effettuare test per combattere i rischi della sicurezza informatica. Le aziende stanno anche sfruttando l’intelligenza artificiale in modo difensivo, utilizzandola per migliorare i propri sistemi di rilevamento, filtri e simili. Harr ha ribadito che la ricerca di SlashNext, tuttavia, sottolinea che ciò è del tutto giustificato poiché i criminali informatici stanno già utilizzando strumenti come ChatGPT per mettere in atto questi attacchi.
SlashNext ha trovato un particolare BEC a luglio che utilizzava ChatGPT, accompagnato da WormGPT. WormGPT è uno strumento di criminalità informatica pubblicizzato come "un'alternativa black hat ai modelli GPT, progettato specificamente per attività dannose come la creazione e il lancio di attacchi BEC", secondo Harr. È stato segnalato che circola anche un altro chatbot dannoso, FraudGPT. Harr afferma che FraudGPT è stato pubblicizzato come uno strumento "esclusivo" su misura per truffatori, hacker, spammer e individui simili, vantando un ampio elenco di funzionalità.
Parte della ricerca di SlashNext ha riguardato lo sviluppo di "jailbreak" di intelligenza artificiale, attacchi progettati in modo piuttosto ingegnoso contro i chatbot di intelligenza artificiale che, una volta entrati, causano la rimozione dei guardrail di sicurezza e legalità dei chatbot di intelligenza artificiale. Questa è anche un’importante area di indagine in molti istituti di ricerca legati all’intelligenza artificiale.
Come dovrebbero procedere le aziende e gli utenti
Se ritieni che ciò possa rappresentare una seria minaccia a livello professionale o personale, hai ragione, ma non è tutto senza speranza. Gli esperti di sicurezza informatica si stanno intensificando e stanno valutando le modalità per contrastare e rispondere a questi attacchi. Una misura adottata da molte aziende è l'istruzione e la formazione continua degli utenti finali per verificare se dipendenti e utenti vengono effettivamente colti di sorpresa da queste e-mail.
L’aumento del volume di e-mail sospette e mirate significa che un promemoria qua e là potrebbe non essere più sufficiente e le aziende dovranno ora esercitarsi in modo molto persistente a sensibilizzare gli utenti sulla sicurezza. Inoltre, gli utenti finali dovrebbero essere non solo ricordati, ma incoraggiati a segnalare e-mail che sembrano fraudolente e a discutere le loro preoccupazioni relative alla sicurezza. Ciò non vale solo per le aziende e per la sicurezza a livello aziendale, ma anche per noi come singoli utenti. Se i giganti della tecnologia vogliono che ci fidiamo dei loro servizi di posta elettronica per le nostre esigenze personali di posta elettronica, allora dovranno continuare a costruire le loro difese in questi modi.
Oltre a questo cambiamento a livello culturale nelle imprese e nelle aziende, Steffen ribadisce anche l’importanza degli strumenti di filtraggio della posta elettronica che possono incorporare funzionalità di intelligenza artificiale e aiutare a impedire che i messaggi dannosi arrivino anche agli utenti. È una battaglia perpetua che richiede test e controlli regolari, poiché le minacce sono in continua evoluzione e, man mano che le capacità dei software di intelligenza artificiale migliorano, aumenteranno anche le minacce che li utilizzano.
Le aziende devono migliorare i propri sistemi di sicurezza e nessuna singola soluzione può affrontare completamente tutti i pericoli posti dagli attacchi e-mail generati dall’intelligenza artificiale. Steffen sostiene che una strategia zero-trust può aiutare a colmare le lacune di controllo causate dagli attacchi e contribuire a fornire una difesa per la maggior parte delle organizzazioni. I singoli utenti dovrebbero essere più attenti alla possibilità di essere vittime di phishing e di essere ingannati, perché il fenomeno è aumentato.
Può essere facile cedere al pessimismo su questo tipo di questioni, ma possiamo essere più cauti su ciò su cui scegliamo di fare clic. Prenditi un momento in più, poi un altro, e controlla tutte le informazioni: puoi anche cercare l'indirizzo email da cui hai ricevuto una determinata email e vedere se qualcun altro ha avuto problemi ad essa correlati. È un complicato mondo speculare online ed è sempre più utile mantenere la calma.