ESET, nota società di sicurezza informatica, ha scoperto una campagna pubblicitaria attiva che porta a un sito Web falso.
Lo stesso offre una fantomatica versione a pagamento del chatbot di OpenAI che, come è facile intuire, non è in realtà quello che sembra: si tratta, in realtà, di una piattaforma realizzata per una campagna phishing.
Mentre la popolarità di OpenAI e dei suoi prodotti continua a crescere, i criminali informatici sfruttano tutta questa attenzione per ingannare gli utenti con applicazioni, piattaforme ed estensioni browser che mirano a rubare informazioni sensibili.
ChatGPT, servizio lanciato nel novembre 2022, è uno strumento di chatbot basato sull’intelligenza artificiale che consente agli utenti di avere conversazioni simili a quelle che avrebbe con altri esseri umani.
Prima di questa scoperta, ESET aveva già rilevato l’uso di falsi siti ChatGPT, estensioni del browser dannose e persino applicazioni che distribuivano malware trojan per rubare informazioni bancarie. La strategia di inganno rimane pressoché identica: creare siti falsi che assomigliano a quelli legittimi e indurre gli utenti a cadere nella trappola.
La strategia dei cybercriminali che vendono la versione a pagamento del chatbot di OpenAI
In questo caso particolare, ESET ha rilevato che una ricerca per parole chiave come “ChatGPT 4” o “ChatGPT per Android” su Google potrebbe portare gli utenti a un URL apparentemente autentico: chatgptui[.]com.
Facendo clic sul collegamento, gli utenti ignari vengono indirizzati verso un sito verosimile, ben realizzato e che presenta il logo di OpenAI. Per aumentare l’autorevolezza della falsa piattaforma, i cybercriminali mostrano anche i loghi di aziende reali che utilizzano il servizio originale.
Quando gli utenti fanno clic su “get started“, il sito richiede loro di fornire informazioni per la registrazione. L’interesse del gruppo di cybercriminali risiede nel persuadere gli utenti a credere che si stiano abbonando alla versione a pagamento del chatbot ed estrarre i dettagli della loro carta di credito per falsi pagamenti.
Come non cadere nel tranello?
Per evitare di cadere in tali trappole, ESET consiglia di prestare attenzione durante l’installazione di estensioni, app o l’iscrizione a siti Web. Verificare sempre l’URL prima di fare clic su un annuncio, e-mail o messaggio WhatsApp può risultare molto utile.
Non inserire mai i dettagli della carta di credito o bancari a meno che il sito non disponga di adeguate misure di sicurezza e verificare che sia protetto da certificato HTTPS risultano altri passi importanti.
È fondamentale mantenere aggiornati i dispositivi e il software e utilizzare un antivirus affidabile. Nel caso l’utente si accorga di aver appena installato un malware o qualcosa del genere, può essere utile disconnettersi da Internet e chiedere assistenza a un esperto informatico.