L’intelligenza artificiale (IA) continua a sorprendere con le sue capacità, dalla generazione di mondi 3D all’assistenza sul luogo di lavoro. Tuttavia, può davvero superare l’astuzia umana?
Un recente esperimento di phishing guidato dalla divisione IBM X-Force ha posto proprio questa domanda. Usando il modello linguistico ChatGPT, hanno generato un’e-mail di phishing in soli cinque minuti, basata su cinque istruzioni specifiche. Stephanie (Snow) Carruthers, dell’IBM, ha osservato che, nonostante la sua vasta esperienza, ha trovato l’output di IA altrettanto persuasivo come quelli fatti dagli esseri umani.
Per confrontare, il team di Carruthers ha impiegato tecniche di open source intelligence (OSINT) e ha dedicato molte ore alla creazione di un’e-mail di phishing umano, concentrata su un programma di benessere aziendale recentemente lanciato.
Alla fine, gli esseri umani hanno avuto il sopravvento, ma di poco. L’e-mail di phishing umano ha avuto un tasso di clic del 14%, mentre quella dell’IA del 11%. Le ragioni? L’intelligenza emotiva, la personalizzazione e la brevità dell’oggetto dell’e-mail.
Tuttavia, l’efficacia dell’IA nel phishing ha sottolineato un punto cruciale: le e-mail di phishing non sono più piene di errori grammaticali. L’IA produce contenuti grammaticalmente corretti, sfidando l’antico mito del phishing.
Carruthers ha sottolineato la necessità di educare i dipendenti a riconoscere nuovi segnali d’allarme e ha ribadito la persistente efficacia del phishing come tattica, sfruttando le vulnerabilità umane.
Con l’IA che potenzialmente accelera la creazione di phishing, le aziende devono rinnovare costantemente le loro strategie di difesa. Carruthers suggerisce un esame profondo delle potenziali minacce IA, affinché le organizzazioni possano prepararsi e difendersi adeguatamente.