A cura di Pierguido Iezzi
Le TTP (Tecniche, Tattiche e Procedure) utilizzate dai Criminal Hacker sono in costante evoluzione, tanto da evolversi e progredire a pari passo con il ritmo del progresso tecnologico. Va da sé, quindi, che l’arrivo di strumenti commerciali di intelligenza artificiale possano rappresentare per questo gruppo di antagonisti digitali un’opportunità di migliorare e perfezionare l’arsenale a loro diposizione. In particolare, nel campo del social engineering.
Storicamente, gli attacchi di social engineering portano in corredo alcuni segnali di riconoscimento inequivocabili; che l’utente medio è oramai abbastanza avvezzo a notare.
Strani saluti, nomi sbagliati, grammatica scorretta o molto meccanica, richieste confuse e ad alta priorità: questi sono alcuni dei famigerati segni distintivi di un’e-mail di phishing che tutti abbiamo imparato a riconoscere e che ci permettono di alzare gli occhi al cielo, cancellare il messaggio e andare avanti con la nostra giornata.
Ma i nuovi progressi nel campo dell’intelligenza artificiale stanno eliminando questi indicatori evidenti, rendendo sempre più difficile per gli utenti – e a volte anche per i professionisti - distinguere tra un’e-mail legittima e una di phishing, lasciando le aziende esposte.
ChatGPT, oramai “la celebrità” in questo campo, si appresta potenzialmente a modificare in modo permanente le regole del social engineering.
L’arrivo del prodotto di Open AI è diventato protagonista delle prime pagine della cronica, suscitando anche un turbine di incertezze sull’impatto che potrebbe avere sul panorama della cybersicurezza.
Sebbene gran parte della conversazione sia stata sensazionalizzata, il suo impatto sulle campagne di phishing è molto reale.
ChatGPT è un modello generativo programmato per imitare la conversazione umana, redigere contenuti di lunga durata, comporre musica e persino scrivere e correggere codice.
Quest’ultima capacità ha suscitato molta attenzione nella comunità informatica, in particolare quando si prende in considerazione la possibilità della comparsa di malware scritti da ChatGPT.
Tuttavia, la chatbot rappresenta un’altra minaccia che è stata inizialmente un po’ trascurata nel discorso intorno a questa soluzione: le e-mail di phishing generate dall’intelligenza artificiale.
ChatGPT consente ai Criminal Hacker di infondere nelle loro e-mail di phishing capacità comunicative che storicamente non sono state il loro punto forte, in particolare quando si tratta di messaggi in lingue che non siano l’inglese.
Utilizzando questo chatbot, è possibile produrre gratuitamente e-mail di phishing coerenti, colloquiali e indistinguibili dai messaggi legittimi, il che significa che anche il criminale informatico più rudimentale può migliorare i propri attacchi di social engineering.
Sono finiti i tempi in cui un nome scritto male o una grammatica approssimativa potevano destare preoccupazione. Sebbene ChatGPT disponga di controlli per prevenire questo tipo di abuso, è facile per un attore delle minacce manipolare la soluzione semplicemente riformulando la richiesta in modo da evitare qualsiasi frase allarmistica.
Un altro modo per aggirare le linee guida di ChatGPT è quello di utilizzare lo strumento per perfezionare le e-mail di phishing preesistenti e già in circolazioni.
Il risultato di questo lavoro di “lucidatura” potrebbe benissimo ingannare anche l’utente più esperto e indurlo a fare clic su un link sospetto, con conseguente aumento degli attacchi di account takeover e business email compromise.
Le conseguenze di questa evoluzione le conosciamo: danni finanziari, danni reputazionali e possibili rischi di escalation sui sistemi colpiti.
Detto questo, non dobbiamo dimenticare che ad oggi, il social engineering più avanzato, richiede comunque ancora una componente umana.
Mentre i Criminal Hacker, come abbiamo illustrato, potrebbero usare ChatGPT per scrivere messaggi convincenti o tradurre le loro esche nella lingua nativa delle vittime - essenzialmente usando la chatbot per scrivere un messaggio che suoni più vicino alla lingua nativa di quanto possa fare Google Translate, questo funziona solo in campagne di phishing generiche o a strascico (il classico messaggio del corriere o di uno dei colossi dell’ecommerce).
L’AI, per il momento, perfeziona, ma non evolve necessariamente.
I Criminal Hacker veramente specializzati in Social engineering, ancora oggi, operano studiando il modo in cui le loro vittime comunicano, sia internamente tra di loro che con i partner e i clienti esterni.
Imparano a imitare o impersonare colleghi e i clienti, a usare il gergo giusto e quindi a ingannare con maggior successo il personale per farsi consegnare credenziali, credenziali di accesso o persino denaro tramite bonifici.
Exploit e vulnerabilità, sono normali, ma il social engineering sofisticato è qualcosa che non si trova tutti i giorni. E, soprattutto l’AI non ne è – ancora –responsabile.