Il “Vishing” e le truffe generate con l’AI.
A tutti è sicuramente capitato di sentire un amico, un collega o un raccontare di aver subito un tentativo di frode (che talvolta viene completato con successo, causando gravi danni economici e/o reputazionali alla persona offesa).
Tra queste truffe, le più note sono:
- Un SMS che recita: “Ciao Papà/Ciao Mamma, ho rotto il telefono. Questo momentaneamente è il mio nuovo numero. Puoi salvarlo e scrivermi su Whatsapp? https//…”
- Un SMS dalla Banca che avvisa: “Gentile Cliente, la Sua carta sta per essere bloccata. La invitiamo a visitare il nostro sito web ______… per aggiornare i suoi dati.”
- Un’e-mail dalle Poste o dal Corriere che dice: “Gentile (nome), la sua spedizione è in fase di consegna, ma i dati non sono corretti. Clicchi sul seguente link per rettificarli http//bitly….”
- Ricevere una e-mail del (finto) datore di lavoro che chiede di fare urgentemente un bonifico di diverse migliaia di euro ad un conto non noto.
Degli studi condivisi dall’Europol a marzo 2023 circa gli emergenti tentativi di frode dimostrano come molti attacchi si basano sulla cosiddetta ingegneria sociale, che, tramite lo studio del comportamento umano, permette di indurre più facilmente gli utenti a rivelare informazioni confidenziali (password, dati sensibili, …).
Insomma, queste manovre di phishing diventano sempre più convincenti, in quanto di basano sulla fiducia e sulla capacità di sembrare reali e possono essere modificati e perfezionati all’infinito.
Il rapporto statunitense degli “Scam” creati autonomamente da ChatGPT-4o
Proprio a cavallo tra fine ottobre e i primi giorni di novembre del corrente anno, un gruppo di ricercatori dell’Università dell’Illinois (USA) ha pubblicato uno studio (intitolato “Voice-Enabled AI Agents can Perform Common Scams”) che dimostra la predisposizione delle nuove Intelligenze Artificiali ad essere sfruttate dai criminali per mettere a segno truffe principalmente di carattere finanziario con tassi di successo da moderati ad alti.
Questo documento simula una truffa bancaria tramite l’API (“Application Programming Interface” o “Interfaccia di Programmazione dell’Applicazione”) vocale di GPT-4.o, il nuovo modello avanzato di OpenAI., la quale è stata progettata per gestire interazioni conversazionali (con deepfake di audio e video!) in tempo reale tra una persona e un modello generato dall’interfaccia IA.
Il fattore più preoccupante consiste nel fatto che ChatGPT può compiere in via del tutto autonoma ogni azione richiesta per portare a termine la frode.
Secondo gli studi menzionati poco sopra, le percentuali di successo di questi tentativi di “vishing” condotti con l’Intelligenza Artificiale possono raggiungere anche il 60%… Un tasso estremamente elevato, che sta destando molta preoccupazione.
Le dichiarazioni di OpenAI e le nuove misure di GPT4o1
Per cercare di rassicurare gli utenti e le potenziali vittime di queste truffe, un rappresentante che porta il vessillo di OpenAI ha dichiarato pochi giorni fa che sono in corso diverse migliorie alla versione di ChatGPT-4o1, affinché questa diventi impermeabile ai tentativi deliberati di generare truffe e, più in generale, contenuti non sicuri.
Alcuni utenti, però, hanno già sollevato diverse obiezioni, sostenendo che i controlli proposti non sono sufficienti a mitigare gli abusi, in quanto risulterebbero facilmente aggirabili attraverso semplici tecniche di c.d. “jail-breaking”.
Chi ha già utilizzato ChatGPT o strumenti affini sa che il modo in cui viene riformulata una richiesta può portare ad una risposta completamente diversa da parte dell’Intelligenza Artificiale.
Insomma, eludere queste misure di sicurezza potrebbe non essere così difficile per i malintenzionati più accaniti.
Come riconoscere e respingere queste truffe
Ecco alcuni spunti per tutelarsi da queste AI-Threats:
- Informarsi e tenersi aggiornati sulle nuove evoluzioni dei servizi AI (utilizzando fonti attendibili);
- Non cliccare mai su link sospetti e verificare preventivamente, utilizzando un altro canale,l’affidabilità della richiesta (ad esempio: se arriva un link dal fornitore delle vostre utenze di energia elettrica con un numero di telefono insolito, verificate con il fornitore contattandolo tramite canali noti e attendibili);
- Prestare attenzione alle richieste con carattere di estrema urgenza (ad esempio: la banca chiede le credenziali immediatamente e per telefono; oppure l’amm. delegato invia una e-mail dicendo di sbloccare subito dei fondi);
- Fare caso ad “errori” nelle foto/video o nelle tracce audio ricevute… l’intelligenza artificiale è avanzata, ma non perfetta (ancora…).
In buona sostanza, possiamo dire che, oggi più che mai, fidarsi bene, ma non fidarsi è meglio!
Dott.ssa Matilde Grassi
Commenti recenti