L’idea che i malintenzionati possano utilizzare ChatGPT come strumento di phishing per ingannare le persone e indurle a fornire i loro dati personali, come password e numeri di carte di credito, è sempre più preoccupante. La capacità dell’intelligenza artificiale di generare testo che assomiglia al parlato umano, lo rende uno strumento ideale per impersonare aziende e organizzazioni legittime nel tentativo di rubare informazioni personali a vittime ignare.
Come ChatGPT aumenta il rischio di phishing
Si consideri che, a partire da una semplice richiesta di testo, ChatGPT potrebbe essere utilizzato per generare un’e-mail o un messaggio che sembra provenire da un noto istituto finanziario come una banca. Come è tipico delle tecniche di phishing, il testo può contenere una falsa richiesta al destinatario di fornire informazioni come il numero di conto e la password. Spesso si cerca di far rivelare alla vittima informazioni personali o finanziarie, come le risposte alle domande di sicurezza. ChatGPT è abbastanza sofisticato da far sì che il testo generato dal modello sia accuratamente realizzato per apparire autentico e affidabile, rendendo più facile per l’autore del reato convincere il destinatario a fornire le proprie informazioni.
Ancora più dannoso è quando ChatGPT viene utilizzato insieme a OpenAI Codex, un altro modello linguistico che è stato addestrato sul linguaggio di programmazione Python utilizzando milioni di repository GitHub, che sono codici pubblicamente disponibili per una varietà di programmi. Da una semplice richiesta di testo, i malintenzionati potrebbero usare di questi strumenti per produrre malware da iniettare in un’e-mail o in un messaggio di phishing, o altro codice dannoso che potrebbe anche tentare di rubare i dati di accesso.
Inoltre, non esiste ancora un modo definitivo per determinare quale testo sia stato generato da strumenti di intelligenza artificiale e quale sia stato prodotto da un essere umano. A differenza dei deepfake e di altre immagini generate con l’IA, il testo non include molti artefatti identificabili. Ad esempio, i generatori di immagini basati sull’IA possono avere difficoltà a disegnare correttamente le mani, per cui è possibile notare un dito in più su alcune immagini. Inoltre, possono avere difficoltà nella resa di oggetti dettagliati come i gioielli. Il testo generato dall’intelligenza artificiale, invece, non presenta lo stesso tipo di problemi. Le e-mail come quelle descritte sopra sono quasi indistinguibili da quelle autentiche di aziende fidate, a parte il fatto che possono chiedere di rivelare informazioni sensibili.
I dati allarmanti sul phishing
Le truffe di phishing sono una preoccupazione crescente nel mondo digitale di oggi, con milioni di individui e organizzazioni che cadono vittime di questi attacchi ogni anno. Secondo i rapporti trimestrali dell’Anti-Phishing Working Group (APWG) sulle tendenze del phishing, il primo trimestre del 2022 è stato “il peggior trimestre per il phishing mai osservato”, con oltre 1.000.000 di attacchi di phishing registrati in un trimestre per la prima volta in assoluto. Il record è stato battuto anche nel terzo trimestre del 2022, con oltre 1.270.000 attacchi registrati in un periodo di tre mesi.
Inoltre, il Verizon 2021 Data Breach Investigations Report ha rilevato che circa il 36% delle violazioni di dati ha riguardato il phishing, ma si noti che questo valore può variare notevolmente tra i diversi settori e industrie. Ad esempio, il Data Breach Investigations Report 2022 evidenzia che nel settore minerario il phishing rappresenta oltre il 60% di tutte le violazioni di dati. Ciò dimostra l’efficacia del phishing come strumento di furto di informazioni personali da parte degli hacker.
Sebbene i singoli individui siano spesso i bersagli degli attacchi di phishing, le aziende tendono a essere prese di mira più frequentemente perché detengono una quantità molto maggiore di dati preziosi. I dati CISCO del 2021 indicano che le aziende più bersagliate sono quelle dei servizi finanziari, che sono vittime del 60% di tentativi di phishing in più rispetto al secondo settore più preso di mira.
L’avvento di strumenti basati sull’intelligenza artificiale come ChatGPT potrebbe significare che il tasso di successo dei tentativi di phishing è destinato ad aumentare e che i messaggi di phishing generati dall’intelligenza artificiale diventeranno più frequenti con il progredire della tecnologia. Secondo uno studio pubblicato dal MIT, il 96% dei leader del settore IT e della sicurezza prevede che in futuro gli attacchi informatici saranno assistiti dall’IA e, in risposta, sta valutando la possibilità di utilizzare l’IA stessa a scopo difensivo.
L’intelligenza artificiale al servizio degli hacker: cosa rischiamo con ChatGPT
Aumenta il rischio per le aziende e gli individui
Per dirla con le parole di Elon Musk, ChatGPT è già ” scary good”, cioè “spaventosamente bravo”. Tanto che, con un numero sufficiente di dati su cui addestrare il modello, è già possibile imitare qualsiasi individuo utilizzando strumenti come ChatGPT allo scopo di ingannare le proprie vittime. I dati necessari per addestrare il modello potrebbero essere presi dalle piattaforme dei social media o da altri scritti attribuiti a quella persona. In teoria, questo modello sarebbe in grado di riconoscere e ricreare le idiosincrasie che utilizziamo consciamente e inconsciamente per identificarci l’un l’altro, e i bad actors potrebbero sfruttarlo per sovvertire la fiducia che abbiamo nelle persone che conosciamo per migliorare le loro strategie di phishing. In effetti, in risposta al commento di Elon Musk, lo stesso CEO di OpenAI, Sam Altman, ha twittato: “Sono d’accordo sull’essere vicini a un’IA pericolosamente forte, nel senso di un’IA che pone, ad esempio, un enorme rischio di cybersicurezza”.
I rischi associati all’abuso di strumenti assistiti dall’intelligenza artificiale sono già abbastanza grandi da indurre alcuni a chiedere ai governi di regolamentare l’uso di questi strumenti. Finora questa tecnologia è avanzata molto più rapidamente delle leggi che ne regolano l’uso. I professionisti sono concordi nel ritenere che il rischio per le aziende e gli individui continuerà ad aumentare con il miglioramento della tecnologia, che attualmente sta avvenendo a passi da gigante.
ChatGPT è stato costruito sul modello di linguaggio GPT-3.5 di OpenAI, a sua volta un miglioramento rispetto al modello GPT-3. Il rilascio del GPT-4 è previsto per il primo trimestre di quest’anno. Nel mese di gennaio sono circolate in rete voci secondo cui la prossima iterazione sarà addestrata su un numero di dati oltre 5.000 volte superiore a quello del suo predecessore, anche se Altman ha smentito queste voci. Questa voce, tuttavia, solleva la preoccupazione che un altro miglioramento sostanziale dello strumento possa aumentare in modo massiccio il rischio per le aziende e i privati, forse al di là di quanto siano attualmente in grado di difendersi.
Lo stop del Garante della Privacy a ChatGPT in Italia
Il 30 marzo 2023 un provvedimento del Garante per la Privacy ha disposto, con effetto immediato, la limitazione del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società che ha sviluppato ChatGPT.
OpenAI si è spontaneamente adeguata all’ordine provvisorio di limitazione dei trattamenti, offrendo un rimborso a tutti coloro che avevano sottoscritto un abbonamento a ChatGPT Plus.
Le motivazioni del Garante possono così essere sintetizzate:
- assenza dell’informativa agli utenti ed interessati;
- assenza di base giuridica idonea alla raccolta dei dati e al loro trattamento per scopo di addestramento degli algoritmi di ChatGPT;
- trattamento inesatto perché le informazioni che fornisce ChatGPT non sono sempre corrispondenti al dato reale;
- assenza di un controllo o filtri per i minori di 13 anni.
In questi giorni si sta molto parlando del tema, ma probabilmente si dovranno aspettare i termini indicati dall’Autorità di controllo (20 giorni) affinché OpenAi fornisca i chiarimenti sulle misure che intende adottare per sanare i rilievi del Garante.
Come difendersi dai tentativi di phishing assistiti dall’intelligenza artificiale
Per proteggersi da questo tipo di attacchi di phishing, le persone dovrebbero prestare attenzione alle e-mail o ai messaggi che richiedono informazioni personali.
Prima di rispondere a tali richieste, bisogna verificare l’autenticità del mittente e assicurarsi di comunicare con una fonte legittima.
Inoltre, è bene tenere presente che queste e-mail di solito cercano di suscitare un senso di urgenza, ad esempio minacciando che un nostro account potrebbe essere bloccato. Questi sono segni rivelatori di un tentativo di phishing, anche se non sempre, quindi assicuratevi di esaminare attentamente il mittente, il contenuto dell’e-mail e di trattare con cautela qualsiasi link e allegato incorporato.
È inoltre importante che le aziende e le organizzazioni siano consapevoli di questa potenziale minaccia e che istruiscano i propri dipendenti su come individuare le truffe di phishing. Questo può contribuire a ridurre il rischio che le informazioni sensibili finiscano nelle mani di hacker che utilizzano strumenti come ChatGPT per scopi malevoli.
In conclusione, ChatGPT è uno strumento potente che può essere utilizzato per una varietà di scopi, ma presenta anche potenziali pericoli se utilizzato da individui con intenzioni malevole. Esercitando una certa vigilanza e adottando misure per proteggere le informazioni sensibili, i singoli e le organizzazioni possono ridurre il rischio di cadere vittime di tentativi di phishing.
