Chatbot in crescita: l'intelligenza artificiale è ora in grado di competere con l'ignoranza naturale

Il chatbot ChatGPT, basato sull'intelligenza artificiale, sta facendo notizia in tutto il mondo e, oltre alle notizie sul mercato azionario e sul copyright, anche la sicurezza informatica è al centro delle discussioni. Perché la recente e più ampia disponibilità dello strumento, nonostante tutti gli sforzi di sicurezza del produttore, comporta nuove sfide quando si tratta di esche di phishing o di truffe orientate al dialogo, come le truffe romantiche attraverso i social network o gli attacchi di compromesso orientati al business via e-mail.

I chatbot come aiutanti dei criminali informatici

"Uno dei rischi maggiori è che gli aggressori utilizzino queste piattaforme per migliorare significativamente la qualità delle loro esche di phishing. Questo rende gli attacchi di phishing sempre più difficili da identificare, anche per gli utenti più attenti", ha dichiarato Chet Wisniewski, esperto di sicurezza informatica di Sophos. "In definitiva, i chatbot con intelligenza artificiale in costante miglioramento forniscono un aggiornamento gratuito per tutti i tipi di attacchi di social engineering. Programmi come ChatGPT possono essere utilizzati per creare conversazioni interattive molto realistiche e a sfondo criminale via e-mail o per lanciare attacchi via chat tramite Facebook Messenger, WhatsApp o altre app di chat. Oggi il pericolo maggiore è rappresentato dal gruppo target di lingua inglese. Ma probabilmente è solo questione di tempo prima che siano disponibili nuove versioni per creare testi credibili in tutte le lingue parlate nel mondo. Abbiamo raggiunto uno stadio in cui gli esseri umani sono sempre più incapaci di distinguere la prosa generata dalle macchine da quella scritta dagli esseri umani, soprattutto se non conosciamo bene l'altra persona".

Truffe - "ottimizzate" dai chatbot

Sono finiti i tempi in cui le aziende potevano contare sul fatto che i dipendenti svolgessero un ruolo attivo nella difesa dai cyberattacchi, controllando la presenza di errori grammaticali e ortografici o di frasi strane. Uno degli ultimi elementi efficaci dei programmi di formazione viene minato da chatbot come ChatGPT, e in modo molto efficace, come illustrano i due esempi seguenti.

Il testo originale di un truffatore BEC (Business Email Compromise) che tenta di reindirizzare lo stipendio di un'altra persona sul conto dell'aggressore è relativamente facile da riconoscere come "non autentico". A titolo di confronto, qui di seguito è riportata una variante scritta inserendo gli opportuni capisaldi tematici di ChatGPT.

Email di truffa standard:

Ciao ....,

Ho cambiato banca perché il mio vecchio conto non è più in grado di accettare i pagamenti in modalità DD e vorrei cambiare i dati per il deposito diretto della mia busta paga, la modifica può essere efficace per la data di pagamento corrente?

Grazie, ....

Testo scritto da ChatGPT:

Caro HR,

 Vi scrivo per chiedervi di aggiornare le informazioni relative al mio deposito diretto nel sistema retributivo dell'azienda. I dati del mio attuale conto corrente non sono più validi e passerò a una nuova banca.

 Potreste farmi sapere di quali informazioni avete bisogno per aggiornare i dati del mio deposito diretto? Sono lieto di fornire tutti i dettagli necessari.

 Chiedo inoltre che questo aggiornamento venga effettuato in tempo per il prossimo periodo di paga. C'è qualcos'altro che devo fare per garantire una transizione senza problemi?

 Vi ringrazio per l'attenzione prestata a questo problema. Apprezzo il vostro aiuto nel garantire che le mie buste paga siano depositate sul conto corretto.

Cordiali saluti,

[Il tuo nome]

Anche il seguente esempio di truffa di carte regalo chiarisce rapidamente quanto siano diventati bravi i chatbot AI.

Email di truffa standard:

Per favore, ho bisogno che acquistiate delle carte regalo. Abbiamo alcuni clienti a cui voglio inviare dei regali. In quanto tempo riuscite a organizzarli? Perché devo spedirli in meno di un'ora. Posso quindi dirvi di quale prodotto avremo bisogno e la quantità?

Grazie.

Testo scritto da ChatGPT:

Ehi [Impiegato]

Spero che tu stia bene. Vi sto contattando perché ho bisogno del vostro aiuto per una cosa molto importante.

Ho un cliente che ha bisogno di un buono regalo al più presto e non ho il tempo di procurarmelo da sola. Sarebbe in grado di ritirare una carta regalo da [negozio o sito web di carte regalo elettroniche] per [importo] e di inviarmela via e-mail il prima possibile?

So che questo potrebbe essere un piccolo inconveniente, ma apprezzo molto il vostro aiuto per risolvere rapidamente il problema. Se avete domande o bisogno di ulteriori informazioni, fatemelo sapere.

Grazie mille per il vostro aiuto.

Fate attenzione,

[Il tuo nome]

Wisniewski ha parlato del suo "lavoro creativo" con il chatbot: "Entrambi gli esempi suonano come le e-mail di una persona reale, hanno una buona punteggiatura, ortografia e grammatica. Sono perfetti? No. Sono abbastanza buoni? Assolutamente! Con i truffatori che già guadagnano milioni con le loro esche mal congegnate, è facile immaginare la nuova dimensione di questa comunicazione spinta dall'intelligenza artificiale. Immaginate di chattare con questo bot su WhatsApp o Microsoft Teams. Avrebbero riconosciuto la macchina?".

"Mettere il chiodo nella bara della consapevolezza della sicurezza dell'utente finale".

Il fatto è che quasi tutti i tipi di applicazioni nel campo dell'IA hanno già raggiunto un punto in cui possono ingannare un umano quasi 100% delle volte. La qualità della "conversazione" che si può avere con ChatGPT è notevole, e anche la capacità di creare volti umani falsi che sono quasi indistinguibili (per gli esseri umani) dalle foto reali è già una realtà, per esempio. Il potenziale criminale di queste tecnologie è immenso, come dimostra un esempio: i criminali che vogliono realizzare una truffa attraverso una società fittizia generano semplicemente 25 volti e usano ChatGPT per scrivere le loro biografie. Aggiungete qualche account falso su LinkedIn e il gioco è fatto.

Al contrario, anche il "lato buono" deve ricorrere alla tecnologia per resistere. "Dobbiamo tutti indossare la nostra tuta di Iron Man se vogliamo affrontare le acque sempre più pericolose di Internet", afferma Wisniewski. "Sembra che avremo sempre più bisogno di macchine in grado di rilevare quando altre macchine stanno cercando di ingannarci. Un'interessante prova di concetto è stata sviluppata da Hugging Face, che è in grado di riconoscere il testo generato da GPT-2 - suggerendo che tecniche simili potrebbero essere utilizzate per riconoscere i risultati di GPT-3".

"Triste ma vero: l'intelligenza artificiale ha messo il chiodo finale sulla consapevolezza della sicurezza degli utenti finali. Sto forse dicendo che dovremmo smettere di usarlo del tutto? No, ma dobbiamo ridurre le nostre aspettative. Di certo non fa male seguire le best practice di sicurezza informatica che sono state, e spesso sono ancora, in vigore. Dobbiamo incoraggiare gli utenti a essere ancora più sospettosi di prima e, soprattutto, a controllare scrupolosamente anche i messaggi privi di errori che contengono accesso a informazioni personali o elementi monetari. Si tratta di fare domande, chiedere aiuto e prendersi i pochi momenti di tempo extra necessari per confermare che le cose sono davvero come sembrano. Non è paranoia, è la volontà di non farsi prendere per il naso dai delinquenti".

Fonte: Sophos