ChatGPT: potenzialità o ulteriore minaccia per la sicurezza?
Quali potenzialità offre ChatGPT ad hacker e scammer? Può essere utilizzato per rendere i tentativi di scam più credibili? Può contribuire a estorcere più informazioni alle vittime? È quanto si chiede Stanislav Protassov, Acronis Executive Board member e co-fondatore di Acronis, di fronte all’improvviso successo di ChatGPT e alle possibili conseguenze che questo strumento di intelligenza artificiale oggi sulla bocca di tutti potrebbe a vere a livello di sicurezza.
Secondo Protassov, ChatGPT offre essenzialmente più velocità e automazione ai cybercriminali nella scrittura di semplici malware e di testi destinati al phishing. Al momento non è in grado di creare malware complessi né di modificare in modo rivoluzionario il panorama delle minacce, fatto salvo un aumento nella frequenza degli attacchi. I modelli di chatbot come ChatGPT vengono a volte definiti “pappagalli stocastici”, un termine che si riferisce ai modelli linguistici addestrati con un enorme volume di dati che sono in grado di generare molte tipologie di testo.
Tuttavia, solo alcune forme di phishing si affidano al senso e al significato dei testi, mentre altre sfruttano gli aspetti più visivi di un’e-mail, ad esempio il fatto che sia molto simile a una notifica di transazione bancaria. ChatGPT non è in grado di produrre caratteristiche di questo genere. Certamente potrà aiutare gli scammer a generare più testi e in varie lingue, ma non è detto che possa contribuire a generare testi migliori e più convincenti. Per le potenziali vittime, questa capacità di produrre molteplici testi può essere pericolosa, perché anche i meccanismi anti-phishing possono affidarsi ai modelli linguistici per rilevare l’intento doloso del testo. È probabile che si possano addestrare i sistemi anti-phishing in modo che riconoscano le e-mail generate da ChatGPT, ma secondo Protassov siamo di fronte a un ulteriore ciclo e al livello successivo di questa infinita battaglia.
La chatbot ChatGPT può essere utilizzata da hacker e scammer nei modi seguenti:
- Analisi del codice sorgente alla ricerca di vulnerabilità quali SQL injection o overflow del buffer: non si tratta certo di una novità, perché ChatGPT ha già permesso a criminali meno esperti di risparmiare tempo
- Scrittura di exploit: esiste, ma test recenti mostrano che non funziona poi così bene
- Automazione del codice: aiuta i principianti ad automatizzare e velocizzare il proprio compito, ad esempio chiedendo alla chatbot di produrre uno script per il dump delle password, da usare per accedere a Twitter
- Scrittura di malware: benché sia parzialmente impedito dalle linee guida, il sistema è capace di scrivere semplici macro, che però si trovano anche tramite Google e si tratta comunque solo di una semplificazione del processo destinata alle masse
- Chatbot per il social engineering: potrebbe essere una novità per gli attacchi BEC, per i profittatori di truffe amorose e per gli adescamenti via LinkedIn; tutti casi in cui è necessario interagire. La chatbot aiuta a scrivere messaggi che sembrano simili a una vera conversazione, con un’interazione umana inferiore all’1%, il che, almeno all’inizio, aumenta le possibilità di risposta.
Di fronte a questi rischi come possono le aziende, ma soprattutto i singoli utenti, difendersi dalle truffe scam? Quali sono gli indicatori a cui prestare attenzione? “ChatGPT viene addestrata con testi già esistenti: ne consegue che i testi produce non possono essere migliori. Per individuare le e-mail potenzialmente pericolose, occorre prestare attenzione ai segnali di scam che già conosciamo, come il senso di urgenza inaspettato che percepiamo nei testi. Il rilevamento di alcune parole chiave, ad esempio urgente, bonifico bancario, rispondi subito, password e simili fa sì che l’e-mail di phishing sembri urgente e importante”, sottolinea Protassov.
ChatGPT non può comunque essere usata per inserirsi illegalmente nei computer delle persone, perché è un modello di chatbot che genera testi. A volte può produrre conversazioni apparentemente ragionevoli, ma distinguerla da quelle umane non è affatto impossibile. Se per esempio si scrivono messaggi senza senso, un essere umano se ne accorge immediatamente, mentre ChatGPT tenterà di elaborarli e di trovare delle risposte. Quello che ChatGPT offre è una maggiore accessibilità anche a persone senza competenze tecniche, che possono trasformarsi in criminali informatici.
“Ricordo però che tanto le minacce persistenti avanzate quanto altri attacchi sono automatizzati da anni e per queste tipologie la chatbot fa poca differenza. In conclusione, ChatGPT ha dimostrato una certa efficacia nella scrittura di e-mail di phishing convincenti, soprattutto quelle destinate alla compromissione delle e-mail aziendali; al momento però non include connessioni a Internet e se gli hacker puntano a personalizzare quanto scrivono, è indispensabile aggiungere un collegamento a LinkedIn o simili”, conclude Protassov.