Questo tentativo di truffa di fattura crittografica generato dall’IA mi ha quasi ingannato, e sono un esperto di sicurezza

Questa truffa crittografica generata dall'IA mi ha quasi ingannato, nonostante la mia esperienza in sicurezza.

Ho preso una meritata pausa dalla scrittura su ENBLE durante gli ultimi sei mesi. Ora, sono tornato – e la prima cosa che devo dirti è che sono un idiota.

Nel periodo in cui sono stato assente, ho avuto molte esperienze con l’intelligenza artificiale generativa (AI) e i grandi modelli di linguaggio (LLM) come professionista della creazione di contenuti, sia come strumento potente per migliorare la produttività che come assistente creativo. Ma come per qualsiasi tecnologia, c’è un lato oscuro e il potenziale per gli abusi.

Inoltre: 6 modi dannosi in cui ChatGPT può essere utilizzato da attori malintenzionati

La scorsa settimana, sono stato quasi certamente il bersaglio di un tentativo di phishing assistito dall’IA. Sono quasi caduto vittima, anche se ho scritto professionalmente su questo argomento e in passato ero impiegato come analista delle minacce presso una grande azienda di sicurezza informatica specializzata nella protezione delle aziende contro gli attacchi di phishing.

Avrei dovuto saperlo meglio? Assolutamente.

Ma come esseri umani, siamo bravi solo quanto siamo addestrati a riconoscere il phishing e parte di questa capacità è essere in grado di distinguere il falso dal vero e di addestrare il cervello primitivo a gridarci quando qualcosa non va.

Inoltre: L’IA generativa porta nuovi rischi per tutti. Ecco come puoi restare al sicuro

Tuttavia, se qualcosa sembra sufficientemente autentico, anche una persona con molta esperienza può finire per fare qualcosa di stupido. E quella persona ero io.

Come sono stato vittima di phishing utilizzando l’IA

Nelle ultime settimane, ho ricevuto email che assomigliano molto a fatture da Stripe, un processore di pagamenti spesso utilizzato per transazioni con criptovalute. L’email è un messaggio in formato HTML che sembra molto autentico e include anche allegati in formato PDF che sembrano fatture per acquisti di criptovalute tramite Coinbase.

Email di phishing che si presenta come una fattura PayPal.

PDF allegato con un falso pagamento Coinbase tramite PayPal, con convincente numero di assistenza clienti 888.

Sono abituato a vedere email di phishing che sono molto meno convincenti perché hanno errori di formattazione, formulazione e ortografia facilmente rilevabili. Anche i campi dell’oggetto dell’email a volte sembrano nonsense, non comunicazioni ufficiali di un fornitore o di un fornitore di servizi autentico.

Inoltre: I migliori VPN per viaggi attualmente disponibili: testati ed esaminati dagli esperti

Inoltre, i tentativi di phishing a cui sono abituato contengono link che puntano a siti bancari o fornitori falsi con URL misteriosi, dove ti viene chiesto di inserire le credenziali ed è probabile che tu finisca per rivelare le password. Ogni volta che ricevo questo tipo di email di phishing, i miei allarmi si attivano e le segnalo.

Molti di essi sono così ovviamente sospetti che non finiscono nemmeno nella mia casella di posta; vanno direttamente nello spam. Ho anche addestrato il mio cervello a non cliccare mai su un link e non ho cliccato su nessuno dei link in questa email.

Tuttavia, in questo caso Gmail non ha segnalato il tentativo di phishing come spam. La fattura e il linguaggio dell’email erano così ben scritti e formattati che è molto probabile che sia stata utilizzata l’IA per imitare quello che una di queste fatture da Stripe potrebbe sembrare per eludere i filtri di Gmail e i miei filtri umani. E poiché non compro criptovalute, non so come sia fatta una fattura “vera”.

Inoltre: Cosa sapere sul disastro della perdita di dati SanDisk/Western Digital

Ora, non c’è un modo facile per dimostrare che l’IA ha ottimizzato parte del testo dell’email o dei PDF, ma dato il libero e facile accesso agli strumenti di intelligenza artificiale durante l’ultimo anno, è sempre più probabile che siano stati utilizzati nella loro creazione.

Questo è uno dei pericoli dell’IA generativa. Questi strumenti possono essere utilizzati per generare testo e immagini per produrre comunicazioni fraudolente che sembrano così perfette da superare l’ispezione.

Il compromesso del fattore umano, fase due

Un’altra fase di questa campagna di phishing molto convincente è che la fattura ha un numero di supporto gratuito 888 che ti indica di chiamare se non riconosci la transazione.

Inoltre: Gli scammers stanno usando l’IA per impersonare i tuoi cari

Anche se i numeri di telefono 800 e 888 vengono spesso falsificati per scopi di telemarketing, sono anche utilizzati da organizzazioni legittime per call center perché la FCC ne traccia l’emissione. Tuttavia, ho scoperto che i cattivi li usano per i loro call center.

Il numero di telefono effettivo di PayPal.

Poiché ero preoccupato che il mio indirizzo email fosse utilizzato per effettuare transazioni finanziarie, ho chiamato questo numero, credendo fosse PayPal stesso, e sono stato collegato a un call center affollato in India, dove l’operatore conosceva abbastanza dettagli su di me da sembrare spaventosamente autentico.

Inoltre: Non siamo pronti per l’impatto dell’IA generativa sulle elezioni

Mi ha detto che alcuni dispositivi in Ohio, Cina, Texas e New Jersey stavano cercando di effettuare acquisti di criptovalute tramite questo servizio di Stripe tramite Coinbase. Tuttavia, un’ultima operazione di controllo ha impedito che la transazione andasse a buon fine. Meno male.

Google userà volentieri l’IA generativa per dirti il numero di telefono autentico. Sperabilmente.

Tuttavia, per rimuovere quei dispositivi dal mio profilo PayPal e segnalare il mio account in modo da smettere di ricevere queste email fasulle, dovevo inviargli codici associati agli indirizzi email collegati al mio account Amazon che lui avrebbe inviato al mio indirizzo email/numero di telefono.

Dovrei essermi svegliato in quel momento, ma erano le 8 del mattino e la mia prima bevanda a base di espresso non aveva ancora saturato completamente il mio flusso sanguigno.

Inoltre: Le migliori chiavi di sicurezza al momento: Testate dagli esperti

Quei codici sono codici di autenticazione a due fattori (2FA) che useresti se perdessi l’accesso al tuo account Amazon, se avessi impostato il 2FA – e non dovresti mai darli a nessuno.

Sono stato così stupido da inviare a questo tizio il primo codice 2FA e poi, proprio mentre mi chiedeva quale carta di credito stavo usando, in modo da poterla “segnalare”, il mio cervello rettile si è svegliato; ho riattaccato il telefono e immediatamente ho ripristinato le password sia di PayPal che di Amazon.

Ho poi trovato il vero numero di telefono di PayPal – 1 (888) 221-1161 – e ho parlato con il loro dipartimento antifrode e sicurezza che mi ha detto che ero una vittima di phishing e di inoltrare le email al loro dipartimento di abusi: phishing@paypal.com.

Inoltre: La corsa all’oro dell’IA rende la sicurezza di base dei dati fondamentale

Ah, e quel call center di PayPal era basato in India e suonava esattamente come quello falso, con un numero 888 altrettanto legittimo. State attenti, gente.

Sei quasi caduto vittima di un attacco di phishing molto sofisticato? Rispondi e fammelo sapere.