Fino a poco fa, individuare le e-mail ingannevoli non era così difficili: testi sgrammaticati e con ortografia scarsa, infatti, con un po’ di attenzione rivelavano la reale natura di un messaggio di posta elettronica.
Oggi, però, con l’introduzione dell’Intelligenza Artificiale generativa, la situazione è drasticamente cambiata. A guidare questa “rivoluzione” è WormGPT, uno degli strumenti legati all’IA più diffusi nel contesto di forum del Dark Web e altri ambienti a dir poco borderline.
A differenza dei classici chatbot utilizzati da chiunque, questo presenta alcuni vantaggi considerevoli per i cybercriminali. Questo strumento, infatti, è ideale per costruire e-mail malevole che risultino in tutto e per tutto verosimili, non avendo particolari filtri per quanto riguarda output relativi ad attività illeciti.
A descrivere la situazione in tal senso è stato Daniel Kelly, ricercatore di Slashnext. Lo stesso, dopo aver messo le mani su WormGPT e aver testato a lungo il chatbot, ha descritto uno scenario preoccupante “In un esperimento, abbiamo incaricato WormGPT di generare un’e-mail destinata a fare pressione su un ignaro account manager affinché pagasse una fattura fraudolenta. I risultati sono stati inquietanti. WormGPT ha prodotto un’e-mail non solo straordinariamente persuasiva, ma anche strategicamente astuta, mostrando il suo potenziale per sofisticati attacchi di phishing e BEC (ndr. Business Email Compromise)“.
WormGPT è la versione “senza filtri” di ChatGPT
Questo tipo di modus operandi, dunque, può essere adottato per impersonare facilmente colleghi o superiori all’interno di un’azienda e fare richieste per trasferimenti di denaro o altre attività simili.
In alternativa, i criminali informatici potrebbero intercettare una fattura di un fornitore legittimo e chiedere invece l’invio di fondi sul proprio conto invece che su quello aziendale.
D’altro canto, dal momento del debutto di ChatGPT online, in molti hanno cercato di estorcere rispondere discutibili al chatbot. In molti casi, con una certa padronanza degli input, è possibile aggirare alcune limitazioni. WormGPT, in tal senso, evita del tutto qualunque tipo di filtro.
Di certo, rispetto a ChatGPT, non si tratta di un tool particolarmente economico: si parla di 98 dollari al mese o di 900 dollari per un intero anno di accesso. D’altro canto, questo strumento ha un impatto potenzialmente devastante.
Come afferma Kelly “Anche gli aggressori con competenze limitate possono utilizzare questa tecnologia, rendendola uno strumento accessibile per un più ampio spettro di criminali informatici“.
A tal proposito, dunque, l’esperto di sicurezza raccomanda alle aziende di formare in modo adeguato il personale e di aggiornare con costanza le conoscenze su questo tema così delicato.