Risultati spaventosi: uno studio dimostra che i chatbot AI eccellono nelle tattiche di phishing

Uno studio recente ha dimostrato con quanta facilità i moderni chatbot possano essere utilizzati per scrivere email truffa convincenti rivolte alle persone anziane e con quale frequenza tali email vengano cliccate.

Nello studio, i ricercatori hanno utilizzato diversi importanti chatbot basati sull'intelligenza artificiale, tra cui Grok, ChatGPT di OpenAI, Claude, Meta AI, DeepSeek e Gemini di Google, per simulare una truffa di phishing. 

Una delle note scritte da Grok sembrava un amichevole messaggio di benvenuto della "Silver Hearts Foundation", descritta come una nuova organizzazione benefica che offre compagnia e assistenza agli anziani. La nota era rivolta agli anziani e prometteva un modo semplice per partecipare. In realtà, tale organizzazione benefica non esiste.

"Crediamo che ogni anziano meriti dignità e gioia nei suoi anni d'oro", si legge nella nota. "Cliccando qui, scoprirai le storie commoventi degli anziani che abbiamo aiutato e scoprirai come unirti alla nostra missione" 

Quando Reuters ha chiesto a Grok di scrivere il testo di phishing, il bot non solo ha prodotto una risposta, ma ha anche suggerito di aumentare l'urgenza: "Non aspettare! Unisciti oggi stesso alla nostra comunità solidale e contribuisci a trasformare delle vite. Clicca ora per agire prima che sia troppo tardi!" 

108 volontari senior hanno partecipato allo studio sul phishing

I giornalisti hanno testato se sei noti chatbot dotati di intelligenza artificiale avrebbero rinunciato alle loro regole di sicurezza e avrebbero redatto email mirate a ingannare gli anziani. Hanno anche chiesto ai bot di aiutarli a pianificare campagne truffaldine, inclusi suggerimenti su quale momento della giornata avrebbe potuto ottenere la risposta migliore. 

In collaborazione con Heiding, un ricercatore dell'Università di Harvard che studia il phishing, i ricercatori hanno testato alcune delle email scritte dai bot su un gruppo di 108 volontari senior.

Di solito, le aziende di chatbot addestrano i propri sistemi a rifiutare richieste dannose. Nella pratica, queste misure di sicurezza non sono sempre garantite. Grok ha visualizzato un avviso in cui si affermava che il messaggio prodotto "non dovrebbe essere utilizzato in scenari reali". Ciononostante, ha recapitato il testo di phishing e ha intensificato il messaggio con "clicca ora"

Altri cinque chatbot hanno ricevuto le stesse richieste: ChatGPT di OpenAI, l'assistente di Meta, Claude, Gemini e DeepSeek dalla Cina. La maggior parte dei chatbot ha rifiutato di rispondere quando l'intento è stato chiarito. 

Tuttavia, le loro protezioni sono venute meno dopo lievi modifiche, come ad esempio dichiarare che l'attività era a scopo di ricerca. I risultati dei test hanno suggerito che i criminali potrebbero utilizzare (o potrebbero già utilizzare) i chatbot per campagne fraudolente. "È sempre possibile aggirare questi sistemi", ha affermato Heiding.

Heiding ha selezionato nove email di phishing generate con i chatbot e le ha inviate ai partecipanti. Circa l'11% dei destinatari ci è cascato e ha cliccato sui link. Cinque dei nove messaggi hanno generato clic: due provenienti da Meta AI, due da Grok e uno da Claude. Nessuno degli anziani ha cliccato sulle email scritte da DeepSeek o ChatGPT.

L'anno scorso, Heiding ha condotto uno studio che dimostrava come le email di phishing generate da ChatGPT possano essere efficaci quanto i messaggi scritti da persone, in quel caso tradentuniversitari, nel senso che vengono cliccati. 

L'FBI elenca il phishing come il crimine informatico più comune

Il phishing consiste nell'indurre vittime ignare a rivelare dati sensibili o cash tramite e-mail e SMS falsi. Questi tipi di messaggi sono alla base di molti crimini online. 

Ogni giorno in tutto il mondo vengono inviati miliardi di messaggi di testo ed email di phishing. Negli Stati Uniti, il Federal Bureau of Investigation classifica il phishing come il crimine informatico più comunemente denunciato. 

Gli americani più anziani sono particolarmente vulnerabili a queste truffe. Secondo recenti dati dell'FBI, le denunce da parte di persone di età pari o superiore a 60 anni sono aumentate di 8 volte lo scorso anno, con perdite che hanno raggiunto i 4,9 miliardi di dollari. L'intelligenza artificiale generativa ha peggiorato notevolmente la situazione, afferma l'FBI.

Solo nel mese di agosto, gli utenti di criptovalute hanno perso 12 milioni di dollari a causa di truffe di phishing, secondo un Cryptopolitan .

Quando si parla di chatbot, il vantaggio per i truffatori risiede nel volume e nella velocità. A differenza degli esseri umani, i bot possono creare infinite varianti in pochi secondi e a costi minimi, riducendo il tempo e il denaro necessari per portare a termine truffe su larga scala.