ChatGPT è il nuovo argomento di tendenza: tutti ne parlano ma pochi sanno che questo strumento di intelligenza artificiale potrà essere utilizzato anche dai cybercriminali per perfezionare i loro attacchi ai danni di cittadini e organizzazioni. Ecco un articolo volto a chiarire la situazione.
Cos’è ChatGPT spiegato in modo semplice
ChatGPT è il nome di un chatbot, cioè un software progettato per simulare una conversazione con un essere umano, lanciato sul mercato dall’azienda statunitense OpenAI a novembre 2022.
In estrema sintesi, si può dire che ChatGPT genera contenuti testuali in risposta alla richiesta presentata dall’utente estrapolando i testi presenti nel suo database (costituito da pagine Internet) ed elaborandoli in modo da creare un testo di senso compiuto.
A differenza di Google quindi non risponde alla richiesta proponendo pagine internet in cui si parla di quell’argomento, ma prende parti di testi di diversi siti e li armonizza (secondo modelli linguistici impostati dagli sviluppatori) in un unico testo.
Una sorta di “copia-e-incolla” evoluto.
Attenzione però che, essendo un copia-e-incolla di contenuti presi da Internet, questo chatbot presenta:
- Errori grammaticali tipici del web (es. un’amico con l’apostrofo anche se è sbagliato)
- Problemi di etica: prendendo i testi da pagine Internet scritte da utenti, ne eredita anche le credenze errate, i pregiudizi e gli stereotipi più diffusi
- Problemi di veridicità: non ha la capacità di sapere se qualcosa è vero oppure no, quindi se nel database non trova la risposta alla richiesta, la crea prendendo come basi frasi legate a quell’argomento. Es. qual è il record con cui un uomo ha attraversato a piedi lo stretto di Messina? Il Chatbot ti risponderà che il record di attraversata a piedi è di Andrea Fazio che ha impiegato 30 minuti e 6 secondi, quando in realtà si tratta di un record di nuoto
- Problemi di logica: non sa fare i conti e non sa rispondere ai più semplici problemi di logica (a meno che non si tratti di un quesito molto diffuso e presente nel suo database)
- Limiti relativi alle notizie più recenti: il database del chatbot è costituito da un numero importante ma limitato di pagine web e non è continuamente aggiornato. Questo vuol dire che potrebbe non essere in grado di rispondere correttamente a domande relative ai fatti più recenti.
Esempi di risposte evolute di ChatGPT
Tra le richieste (dette “prompt”, in inglese ordine, indicazione) che ChatGPT è in grado di esaudire, una delle più particolari è la capacità di:
- Adattare il testo generato a uno specifico pubblico
- Esaudire eventuali richieste di approfondimento e di esempi
Di seguito si riportano i testi elaborati da ChatGPT alla seguente richiesta:
Domanda 1: “Spiega cos’è la cyber security come se fossi un bambino di 5 anni”.
“La cyber security è come una serratura per il tuo computer e le informazioni che ci sono dentro. Serve a proteggere il tuo computer da persone che vogliono fargli del male o rubare le tue informazioni personali. È come avere un cancello con un lucchetto per la tua casa virtuale!”
Domanda 2 (posta in relazione alla risposta della domanda 1): “Puoi spiegarlo più nel dettaglio con 5 esempi?”
“Certo! Ecco 5 esempi per spiegare la cyber security a un bambino di 5 anni:
- Password: è come la chiave del lucchetto della tua casa virtuale. Devi tenerla segreta e non dirla a nessuno tranne che ai tuoi genitori o a qualcuno di cui ti fidi molto.
- Antivirus: è come un super eroe che protegge il tuo computer da cattivi che vogliono farlo ammalare.
- Firewall: è come un muro che protegge il tuo computer dalle cattive persone che vogliono entrarci da Internet.
- Aggiornamenti del software: è come fare un controllo alla tua serratura per assicurarsi che sia sempre forte e protegga il tuo computer.
- Essere attenti ai siti web che si visitano: è come camminare in un parco giochi sicuro, evitare di entrare in luoghi dove ci sono persone cattive che potrebbero farti del male.”
Come si può notare, il livello di risposta è ben superiore ad altri chatbot presenti sul mercato in quanto ha effettivamente utilizzato un linguaggio chiaro e familiare per un bambino di 5 anni.
Come i criminali possono usare ChatGPT a loro vantaggio
Nell’esempio precedente, abbiamo chiesto a ChatGPT di realizzare un testo rivolto a un bambino di 5 anni con lo scopo di spiegargli cos’è la cyber security. Purtroppo però, le richieste rivolte al chatbot potrebbero avere altre finalità tutt’altro che legali.
La richiesta da parte dell’utente infatti potrebbe essere come la seguente: “Crea un testo email con cui un responsabile ordina a un impiegato amministrativo di cliccare con urgenza e senza fare domande su un link presente nel testo”.
Da ciò emerge chiaramente come il chatbot ChatGPT possa potenzialmente aiutare le organizzazioni criminali a creare irresistibili testi-esca capaci di aumentare in modo esponenziale le percentuali di successo dei messaggi di phishing.
Questo perché ChatGPT:
- Semplifica la generazione di messaggi
- Permette di renderli potenzialmente più accattivanti e realistici con un semplice input
- Consente la creazione automatizzata di centinaia o migliaia di messaggi diversi
Come difendersi dai criminali che usano ChatGPT per le campagne di phishing
Se da una parte è vero che l’utilizzo di questo strumento permetterà ai cyber criminali di realizzare messaggi di posta elettronica più accattivanti e persuasivi, dall’altra si ricorda che:
- I messaggi continueranno ad essere costruiti sulla base delle stesse logiche psicologiche e sociali utilizzate fino ad ora (es. senso di urgenza, paura)
- Le email di phishing si riconoscono non solo dal corpo testo ma anche da altri dettagli come l’indirizzo del mittente e l’utilizzo di immagini particolari
- La capacità degli utenti di riconoscere e agire correttamente in caso di email fraudolente si basa in gran parte su una corretta formazione del personale completa di simulazioni di phishing.
Si ribadisce quindi l’importanza di investire in efficaci programmi di formazione in cyber security, chiari, coinvolgenti e completi di simulazioni, come il nostro servizio di “Security Awareness”.
Per maggiori informazioni sul nostro servizio di formazione, contattaci cliccando sul pulsante sottostante.