Italiano
ภาษาไทย
ဗမာစာ
فارسی
Română
Polski
اردو
Türkçe
Tiếng Việt
Français
한국어
Bahasa Indonesia
Deutsch
日本語
Русский
Português
हिन्दी
Suomi
नेपाली
Dansk
العربية
繁體中文
Norsk bokmål
Čeština
Filipino
עברית
Bahasa Melayu
Nederlands
বাংলা
Español
English
Dal comporre email relativamente semplici, fino ai lavori più complessi, inclusi la scrittura di saggi o la compilazione del codice, ChatGPT - lo strumento di elaborazione del linguaggio naturale basato sull'IA di OpenAI - ha suscitato un enorme interesse sin dal suo lancio.
Non è affatto perfetto, ovviamente - è noto per commettere errori e fare sbagli poiché interpreta erroneamente le informazioni che sta apprendendo, ma molti lo considerano, insieme ad altri strumenti di intelligenza artificiale, come il futuro di come useremo Internet.
I termini di servizio di OpenAI per ChatGPT vietano specificamente la generazione di malware, inclusi ransomware, keylogger, virus o "altro software inteso a causare qualche forma di danno". Vietano anche i tentativi di creare spam, così come gli utilizzi mirati alla criminalità informatica.
Ma come per ogni tecnologia innovativa online, ci sono già persone che stanno sperimentando come potrebbero sfruttare ChatGPT per scopi meno trasparenti.
Dopo il lancio, non è passato molto tempo prima che i criminali informatici iniziassero a pubblicare thread su forum clandestini riguardo a come ChatGPT potesse essere utilizzato per agevolare attività cyber maliziose, come la scrittura di e-mail di phishing o l'assistenza nella compilazione di malware.
E ci sono preoccupazioni che i malintenzionati cercheranno di utilizzare ChatGPT e altri strumenti di intelligenza artificiale, come Google Bard, come parte dei loro sforzi. Sebbene questi strumenti di intelligenza artificiale non rivoluzioneranno gli attacchi informatici, potrebbero comunque aiutare i criminali informatici - anche involontariamente - a condurre campagne maliziose in modo più efficiente.
"Non penso, almeno nel breve termine, che ChatGPT creerà completamente nuovi tipi di attacchi. L'obiettivo sarà rendere le loro attività quotidiane più efficienti in termini di costi", afferma Sergey Shykevich, responsabile del gruppo di intelligence sulle minacce presso Check Point, un'azienda di sicurezza informatica.
Inoltre: Che cos'è ChatGPT e perché è importante? Ecco tutto quello che devi sapere
Gli attacchi di phishing sono il componente più comune delle campagne di hacking e frode. Che gli attaccanti stiano inviando email per distribuire malware, link di phishing o che siano utilizzati per convincere una vittima a trasferire denaro, l'email è lo strumento chiave nella coercizione iniziale.
Quella fiducia nell'email significa che le bande hanno bisogno di un flusso costante di contenuti chiari e utilizzabili. In molti casi - soprattutto con il phishing - l'obiettivo dell'attaccante è persuadere un essere umano a fare qualcosa, come trasferire denaro. Fortunatamente, molti di questi tentativi di phishing sono facili da individuare come spam al momento. Ma un copywriter automatico efficiente potrebbe rendere quelle email più convincenti.
Il cybercrimine è un'industria globale, con criminali di tutte le nazionalità che inviano email di phishing a potenziali bersagli in tutto il mondo. Questo significa che la lingua può rappresentare un ostacolo, specialmente per le campagne di spear-phishing più sofisticate che si basano sulla convinzione delle vittime di comunicare con un contatto di fiducia -- e è improbabile che qualcuno creda di parlare con un collega se le email sono piene di errori ortografici e grammaticali incongruenti o di strana punteggiatura.
Ma se l'IA viene sfruttata correttamente, un chatbot potrebbe essere utilizzato per scrivere testi per le e-mail in qualsiasi lingua desiderata dall'attaccante.
"La grande barriera per i criminali informatici russi è la lingua - l'inglese", afferma Shykevich. "Ora assumono laureati in studi inglesi dei college russi per scrivere email di phishing e lavorare nei centri di chiamata - e per questo devono pagare."
Continua: "Qualcosa come ChatGPT può risparmiare loro molti soldi nella creazione di una varietà di diversi messaggi di phishing. Può semplicemente migliorare la loro vita. Penso che sia la strada che cercheranno."
In teoria, sono previste delle protezioni che sono progettate per prevenire abusi. Ad esempio, ChatGPT richiede agli utenti di registrare un indirizzo email e richiede anche un numero di telefono per verificare la registrazione.
E sebbene ChatGPT si rifiuti di scrivere email di phishing, è possibile chiedergli di creare modelli di email per altri messaggi, che sono comunemente sfruttati dagli attaccanti informatici. Tale sforzo potrebbe includere messaggi come la pretesa di un bonus annuale in offerta, l'obbligo di scaricare e installare un'importante aggiornamento software, o la necessità di dare un'occhiata urgente a un documento allegato.
"Creare una email convincente per convincere qualcuno a fare clic su un link per ottenere qualcosa come un invito a una conferenza - è molto buono e se sei un non madrelingua inglese questo sembra davvero buono," afferma Adam Meyers, vicepresidente senior di intelligence presso Crowdstrike, un fornitore di cybersecurity e intelligence sulle minacce.
"Puoi farlo creare un invito ben formulato, grammaticalmente corretto che non saresti necessariamente in grado di fare se non fossi un madrelingua inglese."
Ma abusare di questi strumenti non è limitato solo all'email; i criminali potrebbero usarlo per aiutare a scrivere script per qualsiasi piattaforma online basata su testo. Per gli attaccanti che conducono truffe, o anche per gruppi di minacce informatiche avanzate che cercano di condurre campagne di spionaggio, questo potrebbe essere uno strumento utile, specialmente per creare falsi profili social per attirare le persone.
"Se vuoi generare discorsi aziendali plausibili ma senza senso per LinkedIn, in modo da sembrare un vero imprenditore che cerca di stringere connessioni, ChatGPT è ottimo per questo", afferma Kelly Shortridge, esperta di sicurezza informatica e principale tecnologa prodotto presso il fornitore di servizi di cloud computing Fastly.
Diversi gruppi di hacker cercano di sfruttare LinkedIn e altre piattaforme di social media come strumenti per condurre campagne di cyber-spionaggio. Ma creare profili online falsi ma dall'aspetto legittimo - e riempirli di post e messaggi - è un processo che richiede tempo.
Shortridge pensa che gli attaccanti potrebbero utilizzare strumenti di intelligenza artificiale come ChatGPT per scrivere contenuti convincenti mentre godono anche del vantaggio di richiedere meno lavoro manuale.
"Molte di quelle campagne di ingegneria sociale richiedono molto sforzo perché è necessario creare quei profili", sostiene, sostenendo che gli strumenti AI potrebbero abbassare considerevolmente la soglia di accesso.
"Sono sicuro/a che ChatGPT potrebbe scrivere articoli di pensiero di leadership molto convincenti," dice.
La natura dell'innovazione tecnologica significa che, ogni volta che qualcosa di nuovo emerge, ci saranno sempre coloro che cercheranno di sfruttarlo per scopi maliziosi. E anche con i mezzi più innovativi per cercare di prevenire gli abusi, la natura sfuggente dei cyber criminali e degli imbroglioni significa che probabilmente troveranno modi per aggirare le protezioni.
"Non c'è modo di eliminare completamente gli abusi a zero. Non è mai successo con nessun sistema", dice Shykevich, che spera che evidenziare potenziali problemi di sicurezza informatica significhi che ci sia più discussione su come evitare che gli chatbot di intelligenza artificiale vengano sfruttati a scopi errati.
"È una grande tecnologia - ma, come sempre con le nuove tecnologie, ci sono rischi ed è importante discuterne per essere consapevoli di essi. E penso che più ne discutiamo, più è probabile che OpenAI e aziende simili investano di più per ridurre gli abusi", suggerisce.
C'è anche un vantaggio per la cibersicurezza nei chatbot AI, come ChatGPT. Sono particolarmente bravi nel gestire e comprendere il codice, quindi c'è il potenziale per utilizzarli per aiutare i difensori a capire il malware. Poiché sono in grado anche di scrivere codice, è possibile che, assistendo gli sviluppatori nei loro progetti, questi strumenti possano contribuire a creare codice migliore e più sicuro più rapidamente, il che è vantaggioso per tutti.
Come ha scritto di recente l'analista principale di Forrester Jeff Pollard, ChatGPT potrebbe fornire una massiccia riduzione del tempo impiegato per produrre rapporti sugli incidenti di sicurezza.
"Rendere queste azioni più rapide significa avere più tempo per fare altre cose - testare, valutare, indagare e rispondere, tutto ciò che aiuta i team di sicurezza a crescere", sottolinea, aggiungendo che un bot potrebbe suggerire le prossime azioni consigliate in base ai dati disponibili.
"Se l'orchestrazione, l'automazione e la risposta alla sicurezza sono impostate correttamente per accelerare il recupero degli artefatti, ciò potrebbe accelerare la rilevazione e la risposta e aiutare gli analisti del [centro operativo di sicurezza] a prendere decisioni migliori", afferma.
Quindi, i chatbot potrebbero rendere la vita più difficile per alcuni nel campo della cybersecurity, ma potrebbero esserci anche aspetti positivi.
ZDNET ha contattato OpenAI per un commento, ma non ha ricevuto risposta. Tuttavia, ZDNET ha chiesto a ChatGPT quali regole ha in atto per evitare che venga abusato per il phishing - e abbiamo ottenuto il seguente testo.
"È importante notare che mentre i modelli di linguaggio IA come ChatGPT possono generare testi simili alle e-mail di phishing, non possono compiere azioni dannose da soli e richiedono l'intento e le azioni di un utente per causare danni. Pertanto, è importante che gli utenti esercitino cautela e buon senso nell'uso della tecnologia AI e siano vigili nella protezione contro il phishing e altre attività dannose."