L’avvento dell’intelligenza artificiale nel nostro lavoro ha portato una grande quantità di benefici, soprattutto rendendo più veloci una serie di operazioni ripetitive. Molti di noi si sono ormai abituati a utilizzare i chatbot per le attività quotidiane. Io stesso li ho utilizzati per correggere questo testo, non per scriverlo, bada bene.
Uno dei problemi che stanno emergendo è il fatto che queste tecnologie possono essere utilizzate non solo da persone con buone intenzioni, ma anche da chi vuole sfruttarle per rendere più efficaci le proprie truffe. Sappiamo che il requisito fondamentale per qualsiasi tipo di truffa è la fiducia, quindi per riuscire a ingannare qualcuno è necessario far finta di essere qualcun altro. Una delle tecniche che sfrutta al meglio questo principio è il phishing.
Il phishing è una tecnica utilizzata da chi crea email malevole con l’intento di rubare dati personali. Spesso queste email fanno leva su sentimenti di urgenza di vario tipo. Ci sono email che sfruttano la paura dell’autorità, facendoci credere di aver commesso un illecito, anche se non è vero. Altre email ci illudono di aver vinto qualcosa: ricordate, se è troppo bello per essere vero, probabilmente non lo è. Moltissime di queste email fanno leva sul senso di colpa, minacciandoci con conseguenze se non paghiamo entro un certo termine.
Fino ad oggi, le email di phishing venivano create con poco sforzo da persone che utilizzavano strumenti di traduzione automatica di bassa qualità, senza curare gli errori di punteggiatura e grammatica, rendendo più facile identificare i messaggi malevoli rispetto a quelli genuini.
Oggi, con l’avvento dell’intelligenza artificiale generativa, è diventato sempre più difficile distinguere le email vere da quelle fraudolente. I malviventi, infatti, utilizzano questi strumenti per rendere i loro contenuti sempre più credibili, aumentando le possibilità di successo delle truffe. Dobbiamo quindi abituarci a seguire le raccomandazioni del nostro team di sicurezza, anche se finora non ne abbiamo sentito il bisogno.
Per dimostrare questi concetti, vi mostro due diverse email che mi sono arrivate in due momenti storici particolari: una nel 2022 e una nel 2024, entrambe con lo stesso oggetto. I criminali cercavano di spingermi a pagare una fattura per il rinnovo di un servizio di hosting e di un dominio registrato con un noto fornitore italiano, aruba.it. Il contesto era plausibile, poiché mi affido ad Aruba per l’hosting dei miei siti. Tuttavia, la mail del 2022 aveva un tono aggressivo ed era scritta molto male, come potete vedere dall’immagine successiva.
Da notare i numerosi errori di ortografia, la mancanza di punteggiatura e l’uso di un tinyurl che nasconde il link effettivo del sito malevolo su cui viene richiesto di effettuare il pagamento, chiaramente per tentare di rubarci del denaro.
La stessa tipologia di email nel 2024 ha un tono completamente diverso, come si può vedere dall’immagine successiva:
Questa email ha un tono cordiale e presenta pochissime imprecisioni: c’è solo uno spazio dopo “cliente” nella prima riga, prima della virgola, e una virgola di troppo tra “che il dominio a cui risulta”. Per il resto, la mail sembra esattamente una comunicazione ufficiale di Aruba, richiedendo il rinnovo di un dominio o di un qualsiasi altro tipo di servizio.
Tuttavia, ci accorgiamo che la mail non è genuina perché l’indirizzo da cui è stata spedita non è riconducibile ad aruba.it e, passando sopra il pulsante “Rinnova il dominio”, vediamo che il sito di riferimento è diverso da qualsiasi sito legittimo di Aruba.
Ora, vi sconsiglio vivamente di cliccare su questo dominio o di provare a digitarlo nel vostro browser, perché finireste su un sito malevolo. Io non ho nemmeno provato ad aprirlo per evitare di incappare in malware o altre minacce.
Come potete capire, è necessario diventare sempre più esperti e attenti a riconoscere questo tipo di minacce. Ecco alcuni consigli pratici:
- Se una mail scatena un senso di urgenza, fate un bel respiro, contate fino a 10 e ricontrollate l’autenticità del messaggio. Se dopo 10 secondi avete ancora dubbi, fate una controprova telefonando al mittente, ma non rispondete alla mail direttamente. Verificate l’email legittima tramite altri canali ufficiali.
- Controllate l’indirizzo di posta elettronica del mittente per assicurarvi che sia coerente con chi dichiara di essere. Verificate anche che eventuali link presenti nella mail puntino effettivamente a domini legittimi.
Una delle cose che vi consigliamo di fare in Alpsolution è frequentare il nostro corso di consapevolezza sulla sicurezza digitale. In questo corso, vi spiegheremo tutte le principali tecniche di phishing e come riconoscere email malevole su cui non dovreste mai cliccare. Inoltre, abbiamo una nuova sezione che illustra i rischi legati alle nuove tecnologie di intelligenza artificiale.
Ricordate, la sicurezza digitale è una responsabilità di tutti. Mantenetevi informati e seguite le buone pratiche per proteggere voi stessi e i vostri dati.