I ricercatori di Kaspersky, azienda leader in sicurezza informatica e privacy, hanno scoperto un nuovo trucco usato dagli hacker per trasformare il tuo ChatGPT una pericolosa trappola. La piattaforma di OpenAI viene quindi sfruttata per una nuova tattica fraudolenta dai cybercriminali.
Gli esperti hanno spiegato: “Gli aggressori abusano delle funzionalità di creazione delle organizzazioni e di invito dei team di OpenAI per inviare e-mail di spam da indirizzi OpenAI legittimi, inducendo potenzialmente gli utenti a cliccare su link fraudolenti o a chiamare numeri di telefono falsi“.
In pratica, i cybercriminali registrano un nuovo account sulla piattaforma inserendo testi ingannevoli, link o numeri di telefono falsi all’interno del campo dedicato al nome dell’azienda. In questo modo possono inviare messaggi tramite email da indirizzi OpenAI ufficiali. Tuttavia si tratta campagne spam che mettono in pericolo gli utenti che utilizzano ChatGPT.
Come funziona la campagna spam agli utenti di ChatGPT
Questa campagna spam verso gli utenti di ChatGPT ha un metodo alquanto singolare che la rende difficile da smascherare. Infatti, una volta che l’hacker ha creato la sua “azienda” ha la possibilità di “invitare il proprio team” inserendo così gli indirizzi email delle vittime. Ciò permette agli aggressori di inviare email fraudolente utilizzando indirizzi legittimi.
“Si tratta, ad esempio, di e-mail false che promuovono offerte fraudolente, come servizi per adulti. Un altro tipo di attacco rilevato è il vishing, ovvero false notifiche che affermano che un abbonamento è stato rinnovato per una somma ingente: gli aggressori istruiscono i destinatari a chiamare un numero di telefono fornito per ‘annullare’ l’addebito o intraprendere altre azioni che portano a ulteriori compromissioni. Potrebbero inoltre esistere altre minacce via e-mail che si diffondono attraverso la piattaforma OpenAI“, hanno spiegato gli esperti di Kaspersky.
Anna Lazaricheva, Senior Spam Analyst di Kaspersky, ha commentato: “Questo caso evidenzia una vulnerabilità nel modo in cui le funzionalità della piattaforma possono essere utilizzate come arma per attacchi di social engineering tramite e-mail. Incorporando elementi ingannevoli in campi apparentemente innocui come i nomi delle aziende, i truffatori tentano di aggirare i tradizionali filtri e-mail e sfruttare la fiducia degli utenti nei servizi affidabili“.
Cosa fare per proteggersi
Cosa devi fare per proteggerti da questa campagna se usi regolarmente ChatGPT? Lazaricheva invita tutti gli utenti a “verificare attentamente gli inviti ed evitare di cliccare sui link incorporati senza prima averli esaminati con attenzione“.
Inoltre, i ricercatori ricordano quanto sia fondamentale in questi casi “trattare con sospetto tutti gli inviti non richiesti provenienti da qualsiasi piattaforma“, anche se l’email risulta legittima. Infine, è fondamentale “non chiamare i numeri di telefono indicati nelle email sospette“. Se devi contattare l’assistenza di un servizio fallo componendo il numero di telefono indicato alla pagina ufficiale.
