Chatbot: solo le macchine aiutano, le macchine vanno

24. Gennaio 2023
| Non ci sono commenti
Chatbot: solo le macchine aiutano, le macchine vanno

Condividi post

I chatbot come ChatGPT sono in aumento: l'intelligenza artificiale può far fronte all'ignoranza naturale. Sono sempre più necessarie macchine intelligenti per rilevare quando altre macchine cercano di ingannare gli utenti. Un commento di Chester Wisniewski, esperto di sicurezza informatica di Sophos.

Il chatbot ChatGPT, basato sull'intelligenza artificiale, sta facendo notizia in tutto il mondo e, oltre ai rapporti sul mercato azionario e sull'ambiente dei diritti d'autore, anche la sicurezza IT è al centro delle discussioni. Nonostante tutti gli sforzi di sicurezza del produttore, la disponibilità più ampia e recentemente realizzata dello strumento porta con sé nuove sfide quando si tratta di esche di phishing o frodi orientate al dialogo come truffe romantiche tramite social network o attacchi di compromissione orientati al business tramite e-mail.

Attacchi compromettenti ideati dall'IA

“Uno dei maggiori rischi è che gli aggressori utilizzino queste piattaforme per migliorare significativamente la qualità delle loro esche di phishing. Ciò rende gli attacchi di phishing sempre più difficili da identificare, anche per gli utenti attenti", ha dichiarato Chet Wisniewski, esperto di sicurezza informatica di Sophos. “In definitiva, i chatbot AI in continua evoluzione offrono un aggiornamento gratuito per tutti i tipi di attacchi di ingegneria sociale. Programmi come ChatGPT possono essere utilizzati per condurre conversazioni interattive orientate alla criminalità, altamente realistiche via e-mail o lanciare attacchi di chat tramite Facebook Messenger, WhatsApp o altre app di chat.

Oggi il pericolo maggiore è per il gruppo target di lingua inglese. Tuttavia, è probabilmente solo una questione di tempo prima che siano disponibili nuove versioni per creare testi credibili in tutte le lingue comunemente parlate nel mondo. Abbiamo raggiunto uno stadio in cui le persone sono sempre più incapaci di distinguere la prosa generata dalla macchina dalla prosa scritta dall'uomo, specialmente quando non conosciamo bene l'altra persona".

Una svolta per la sicurezza informatica

Questo sviluppo rappresenta un punto di svolta per gli standard esistenti nel settore della formazione dei dipendenti e della sicurezza informatica. Sono finiti i giorni in cui le organizzazioni potevano affidarsi ai dipendenti per svolgere un ruolo attivo nella difesa dagli attacchi informatici controllando errori grammaticali, di ortografia o frasi strane. Uno degli ultimi elementi efficienti dei programmi di formazione è minato da chatbot come ChatGPT e in modo molto efficace, come illustrano i due esempi seguenti.

Il testo esca originale di un truffatore BEC (Business Email Compromise) che tenta di incanalare lo stipendio di qualcun altro sull'account dell'attaccante è abbastanza facile da individuare come "non autentico". In confronto, c'è una variante qui sotto che è stata scritta inserendo i corrispondenti punti chiave tematici di ChatGPT.

Email di truffa predefinita da un utente malintenzionato

CIAO ….,

Ho cambiato le mie banche perché il mio vecchio conto non è più idoneo ad accettare il pagamento gg e vorrei modificare i dettagli del deposito diretto della mia busta paga, la modifica può essere effettiva per la data di pagamento corrente?

Grazie, ….

Testo scritto dall'AI ChatGPT

🔎 Il testo scritto da AI ChatGPT sembra ingannevolmente reale (Immagine: Sophos). 

Caro HR,

Ti scrivo per chiederti di aggiornare i dati del mio deposito diretto nel sistema di buste paga dell'azienda.I dati del mio conto corrente bancario non sono più validi e passerò a una nuova banca.

Potresti farmi sapere di quali informazioni hai bisogno per aggiornare le mie informazioni sul deposito diretto? Sono felice di fornire tutti i dettagli necessari.

Vorrei anche richiedere che questo aggiornamento venga effettuato in tempo per il prossimo periodo di gestione stipendi. C'è qualcos'altro che devo fare per garantire una transizione graduale?

Grazie per la vostra attenzione a questa questione. Apprezzo il tuo aiuto nel garantire che i miei stipendi siano depositati sul conto corretto.

Cordiali saluti,

[Il tuo nome]

"L'esempio suona come l'e-mail di una persona reale, ha una buona punteggiatura, ortografia e grammatica. lei è perfetta NO. lei è abbastanza brava? Comunque! Con i truffatori che già guadagnano milioni con le loro esche mal realizzate, è facile immaginare la nuova dimensione di questa comunicazione spinta dall'intelligenza artificiale. Immagina di chattare con questo bot tramite WhatsApp o Microsoft Teams. Avrebbero riconosciuto la macchina?", dice Wisniewski a proposito del suo "lavoro creativo" con il chatbot.

Iscriviti alla newsletter ora

Leggi le migliori notizie da B2B CYBER SECURITY una volta al mese



Cliccando su "Registrati" acconsento al trattamento e all'utilizzo dei miei dati in conformità con la dichiarazione di consenso (si prega di aprire per i dettagli). Posso trovare maggiori informazioni nel nostro Informativa sulla protezione dei dati . Dopo la registrazione, riceverai prima un'e-mail di conferma in modo che nessun'altra persona possa ordinare qualcosa che non desideri.
Espandi per i dettagli sul tuo consenso
Va da sé che gestiamo i tuoi dati personali in modo responsabile. Se raccogliamo dati personali da te, li elaboriamo in conformità con le normative sulla protezione dei dati applicabili. Informazioni dettagliate possono essere trovate nel nostro Informativa sulla protezione dei dati . Puoi annullare l'iscrizione alla newsletter in qualunque momento. Troverete il link corrispondente nella newsletter. Dopo aver annullato l'iscrizione, i tuoi dati verranno cancellati il ​​prima possibile. Il recupero non è possibile. Se desideri ricevere nuovamente la newsletter, ordinala semplicemente di nuovo. Fai lo stesso se desideri utilizzare un indirizzo email diverso per la tua newsletter. Se desideri ricevere la newsletter offerta sul sito web, abbiamo bisogno di un tuo indirizzo e-mail e di informazioni che ci consentano di verificare che sei il proprietario dell'indirizzo e-mail fornito e che accetti di ricevere la newsletter notiziario. Ulteriori dati non vengono raccolti o vengono raccolti solo su base volontaria. Per l'elaborazione della newsletter utilizziamo i fornitori di servizi di newsletter descritti di seguito.

CleverReach

Questo sito web utilizza CleverReach per inviare newsletter. Il fornitore è CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Germania (di seguito “CleverReach”). CleverReach è un servizio che può essere utilizzato per organizzare e analizzare l'invio di newsletter. I dati da te inseriti ai fini dell'iscrizione alla newsletter (ad es. indirizzo e-mail) verranno archiviati sui server CleverReach in Germania o Irlanda. Le nostre newsletter inviate con CleverReach ci consentono di analizzare il comportamento dei destinatari della newsletter. Ciò può includere Viene analizzato quanti destinatari hanno aperto il messaggio della newsletter e quanto spesso è stato cliccato quale collegamento nella newsletter. Con l'aiuto del cosiddetto monitoraggio delle conversioni è anche possibile analizzare se dopo aver cliccato sul collegamento nella newsletter è avvenuta un'azione precedentemente definita (ad esempio l'acquisto di un prodotto su questo sito web). Ulteriori informazioni sull'analisi dei dati tramite la newsletter CleverReach sono disponibili all'indirizzo: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Il trattamento dei dati avviene sulla base del vostro consenso (art. 6 cpv. 1 lett. a DSGVO). Potrai revocare tale consenso in qualsiasi momento cancellando l'iscrizione alla newsletter. La liceità dei trattamenti di dati già avvenuti rimane inalterata dalla revoca. Se non desideri un'analisi da parte di CleverReach, devi annullare l'iscrizione alla newsletter. A questo scopo forniamo un collegamento corrispondente in ogni messaggio della newsletter. I dati che avete memorizzato presso di noi allo scopo di iscrivervi alla newsletter verranno archiviati da noi o dal fornitore del servizio di newsletter fino alla vostra cancellazione dalla newsletter e cancellati dalla lista di distribuzione della newsletter dopo aver cancellato la newsletter. I dati da noi memorizzati per altri scopi rimangono inalterati. Dopo che sei stato rimosso dalla lista di distribuzione della newsletter, il tuo indirizzo e-mail può essere memorizzato da noi o dal fornitore del servizio di newsletter in una lista nera se ciò è necessario per impedire futuri invii. I dati della lista nera vengono utilizzati solo a questo scopo e non vengono uniti ad altri dati. Ciò serve sia il vostro interesse che il nostro interesse a rispettare i requisiti legali per l'invio di newsletter (interesse legittimo ai sensi dell'art. 6 cpv. 1 lett. f GDPR). La memorizzazione nella lista nera non è limitata nel tempo. Puoi opporti allo stoccaggio se i tuoi interessi superano i nostri interessi legittimi. Per ulteriori informazioni, consultare l'informativa sulla privacy di CleverReach all'indirizzo: https://www.cleverreach.com/de/datenschutz/.

Elaborazione degli ordini

Abbiamo concluso un contratto di elaborazione degli ordini (AVV) per l'utilizzo del suddetto servizio. Si tratta di un contratto richiesto dalla legge sulla protezione dei dati, che garantisce che i dati personali dei visitatori del nostro sito Web vengano elaborati solo secondo le nostre istruzioni e in conformità con il GDPR.

Le IA possono ingannare gli utenti quasi perfettamente

Il fatto è che quasi tutti i tipi di applicazioni nel campo dell'IA hanno già raggiunto un punto in cui possono ingannare un essere umano quasi il 100% delle volte. La qualità della “conversazione” che si può avere con ChatGPT è notevole, e la capacità di generare finti volti umani quasi indistinguibili (per gli umani) da foto reali, per esempio, è già una realtà. Il potenziale criminale di tali tecnologie è immenso, come chiarisce un esempio: i criminali che vogliono compiere frodi tramite una società di comodo generano semplicemente 25 volti e usano ChatGPT per scrivere le loro biografie. Aggiungi alcuni account LinkedIn falsi e sei a posto.

Al contrario, anche il "lato buono" deve rivolgersi alla tecnologia per poter resistere. "Dobbiamo tutti indossare le nostre tute di Iron Man se vogliamo sfidare le acque sempre più pericolose di Internet", ha detto Wisniewski. “Sembra sempre più che abbiamo bisogno di macchine per rilevare quando altre macchine stanno cercando di ingannarci. Un'interessante prova di concetto è stata sviluppata da Hugging Face, che può riconoscere il testo generato con GPT-2, suggerendo che tecniche simili potrebbero essere utilizzate per riconoscere l'output GPT-3".

Triste ma vero: l'intelligenza artificiale ha messo l'ultimo chiodo nella bara della consapevolezza della sicurezza degli utenti finali.

“Sto dicendo che dovremmo smetterla del tutto? No, ma dobbiamo abbassare le nostre aspettative. Non guasta certo seguire le best practice in tema di sicurezza informatica che sono state e spesso sono tuttora applicabili. Dobbiamo incoraggiare gli utenti a essere ancora più sospettosi di prima e, soprattutto, a controllare scrupolosamente i messaggi che contengono l'accesso a informazioni personali o elementi monetari. Si tratta di fare domande, chiedere aiuto e prendersi quei pochi momenti di tempo extra necessari per confermare che le cose sono davvero come sembrano. Non è paranoia, è volontà di non essere derubato dai truffatori.

Maggiori informazioni su Sophos.com

 

A proposito di Sophos

Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.

 

Articoli relativi all'argomento

Rapporto: 40% di phishing in più in tutto il mondo

L’attuale rapporto su spam e phishing di Kaspersky per il 2023 parla da solo: gli utenti in Germania sono alla ricerca ➡ Leggi di più

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Messaggi PR, Sophos
, , , , ,