L’Intelligenza Artificiale è presente sempre più massicciamente online. Dopo il boom di ChatGPT, infatti, Microsoft Bing, Google Bard e altre forme di IA generativa sono disponibili online, alla portata di chiunque. Proprio la diffusione e la facilità di utilizzo, rende però il chatbot anche uno strumento utili per i malintenzionati.
Per i criminali informatici, infatti, questa occasione è troppo ghiotta. Sfruttando le potenzialità dell’IA, infatti, questi riescono a realizzare campagne phishing (o smishing) sempre più convincenti e sempre più difficili da individuare.
Proprio i chatbot, infatti, permettono di realizzare molto facilmente messaggi manipolatori. Questi vengono comunemente utilizzati per conquistare la fiducia della vittima e spingerla verso la cessione di dati preziosi. I casi più “spinti” coinvolgono in modo diretto password e numeri di carte di credito.
Non mancano, però, anche casi in cui il cybercriminale opta per informazioni sensibili di diverso tipo, come codice fiscale, nome e cognome o quant’altro. Che si tratti di denaro da un account home banking o di un furto d’identità, le campagne phishing risultano sempre più temibili con il passare dei mesi.
Phishing e AI: un mix a dir poco pericoloso
Nonostante ChatGPT non sia stato sviluppato per generare qualcosa che possa mettere a rischio vite individuali, può essere manipolato per diventare uno strumento altamente efficace in questo contesto. Quindi, se un utente gli chiede in modo diretto di creare un messaggio di phishing, si rifiuterà di rispondere.
Tuttavia, ponendo le domande sotto diverse angolazioni, i cybercriminali sono comunque in grado di creare e-mail di phishing convincenti, capaci di spingere utenti verso link dannosi. Questo approccio riduce gli sforzi dei criminali informatici, che possono realizzare una campagna di questo tipo in pochi minuti.
A rendere tutto ancora più preoccupante vi è che non serve una conoscienza approfondita nel contesto dell’IA. Anche a livello di codice dannoso, i chatbot lavorano allo stesso modo: con gli input giusti, gli hacker possono trovarsi un malware pronto all’azione in pochissimo tempo.
Come evitare una campagna phishing?
Nonostante gli attacchi phishing siano sempre più efficaci, per gli utenti comuni vi sono alcune precauzioni che permettono di ridurre al minimo i rischi. Evitare link verso URL sospetti, per esempio, è un primo passo. Controllare la presenza di un certificato HTTPS, risulta un ulteriore precauzione utile.
Ovviamente poi, un sistema operativo dotato di un antivirus aggiornato e di altri strumenti di supporto, come un firewall e un password manager, restringe ulteriormente il potenziale raggio d’azione dei criminali informatici.