Secondo Bitdefender, una campagna phishing colpisce ChatGPT. Le email truffa indirizzano le vittime a una versione fake di ChatGPT che promette loro di arricchirsi grazie all’intelligenza artificiale.
“Stiamo parlando di fatto di una classica e tradizionale campagna di phishing che fa leva sulla notorietà di un brand”, commenta Pierguido Iezzi, Ceo di Swascan, “un sistema che vanta oltre 100 milioni di utenti attivi come indicato da Similar Web e confermato da uno studio di UBS. ChatGPT è l’applicazione con la crescita più rapida nella storia di internet”.
Indice degli argomenti
ChatGPT nel mirino di una campagna phishing
La grande popolarità della chatbot AI ha catalizzato l’attenzione dei cyber criminali che sfruttano ChatGPT, per elaborare sofisticate frodi ai danni di incaute vittime. “Una occasione e una opportunità per i criminal hacker per ottenere un maggiore tasso di successo”, evidenzia Iezzi.
La campagna phishing inizia con un’email truffaldina contenente frasi come “ChatGPT: Il nuovo bot AI fa impazzire tutti” o “Perché tutti sono nel panico per il bot ChatGPT?”, per indirizzare le vittime a una versione fake del chatbot AI.
Il sito promette alle vittime di arricchirsi. Le email truffaldine dicono che chi usa l’intelligenza artificiale, può cogliere opportunità finanziarie, analizzando le tendenze dei mercati e ricevendo consigli sulle azioni da comprare, in cambio di un investimento minimo di 250 euro.
Il “chatbot” della falsa piattaforma, dopo una breve introduzione sul suo ruolo di analista finanziario in grado di consentire a chiunque di diventare un investitore di successo, in realtà può scegliere solo risposte predefinite. Lo hanno accertato i ricercatori di Bitdefender che hanno rilevato che la campagna phishing è abbinata a un call center. Operatori reali del finto call center inducono le vittime ad aprire un conto, per avviare l’investimento, offrendo informazioni personali e finanziarie come il numero di carta di credito.
“Il mondo phishing e in generale le tecniche di social engineering”, spiega Iezzi, “saranno sempre di più sfruttare per sottrarre informazioni personali o aziendali così come per rubare credenziali o infettare i dispositivi come step intermedio per gli attacchi ransomware”.
“Un evergreen a disposizione dell’arsenale dei criminali informatici facile e semplice da attuare non solo per l’enorme disponibilità di nostre informazioni, ma soprattutto perché i servizi e gli strumenti necessari sono sempre di più ready to use e a volte anche accessibili con una semplice ricerca su Google.
Come mitigare i rischi
La campagna al momento è soprattutto attiva in Danimarca, Germania, Australia, Irlanda e Paesi Bassi. Ma sta crescendo a livello globale.
Il consiglio degli esperti è di tenere alta l’attenzione, usare solo gli strumenti e i servizi sul sito web ufficiale. Non bisogna mai cliccare su link non richiesti o inviati via mail.
Anche ChatGPT sconsiglia “vivamente di cliccare su link sospetti o di inserire informazioni personali su siti web non affidabili”. E suggerisce di “controllare sempre l’URL del sito web prima di inserire qualsiasi informazione personale o di pagamento e di verificare che sia il sito web ufficiale. In caso di dubbi, è sempre meglio contattare direttamente il servizio clienti dell’azienda o del servizio che si sta utilizzando”, conclude ChatGPT, interrogata da Iezzi.
