La piattaforma di Threat Intelligence di Group-IB ha individuato oltre 100mila account infettati da stealer contenenti credenziali di accesso a ChatGPT nei log commercializzati su piattaforme del dark web.Con 26.802 voci nel solo mese di maggio 2023, il numero di log disponibili contenenti account ChatGPT compromessi ha raggiunto il suo picco. Gli esperti di Group-IB sottolineano che un crescente numero di persone impiega il chatbot per ottimizzare il proprio lavoro, che si tratti dello sviluppo di un software o di comunicazioni aziendali.
Account ChatGPT compromessi, in pericolo i dati sensibili
Per impostazione predefinita, ChatGPT salva la cronologia delle richieste degli utenti e delle risposte fornite dall’intelligenza artificiale. Di conseguenza, l’accesso non autorizzato agli account ChatGPT potrebbe esporre informazioni riservate o sensibili al rischio di sfruttamento per attacchi mirati alle aziende e ai loro dipendenti. Secondo gli ultimi rilievi di Group-IB, gli account ChatGPT hanno già guadagnato una popolarità significativa presso le comunità sotterranee.
ChatGPT sempre più popolare
La piattaforma di Threat Intelligence di Group-IB custodisce la più grande raccolta di dati del dark web del settore. Inoltre monitora in tempo reale i forum dei cybercriminali, i marketplace e i gruppi chiusi per rilevare credenziali compromesse, carte di credito rubate, nuovi campioni di malware, accessi alle reti aziendali e altre informazioni critiche. In altre parole, tutto ciò che consente alle aziende di individuare e mitigare i rischi informatici prima che incorrano in ulteriori danni.
L’analisi dei marketplace sotterranei di Group-IB ha rivelato che la maggior parte dei log contenenti account ChatGPT è stata violata tramite il famigerato info stealer Raccoon. Il costante aumento delle compromissioni di account ChatGPT osservato dal team di Threat Intelligence di Group-IB nel corso dell’ultimo anno conferma la crescente popolarità del chatbot basato sull’IA.
I malware info stealer
Gli info stealer sono un tipo di malware che raccoglie credenziali, dettagli delle carte bancarie, informazioni sui portafogli di criptovalute, cookie, cronologia di navigazione e altro dai browser sui computer infetti. Quindi invia tutto all’operatore del malware. Gli stealer possono anche carpire dati da applicazioni di instant messaging e e-mail, insieme a informazioni dettagliate sul dispositivo della vittima. Gli stealer lavorano in modo non selettivo.
Account ChatGPT compromessi in vendita sul dark web
Questo tipo di malware infetta il maggior numero possibile di computer tramite phishing o altri mezzi al fine di raccogliere il maggior numero di dati possibile. A fronte della loro semplicità ed efficiacia, gli info stealer si stanno progressivamente affermando quale fonte principale di dati personali compromessi. I log compromessi contenenti le informazioni raccolte dagli info stealer vengono commercializzati sui marketplace del dark web. I log disponibili su tali piattaforme presentano anche ulteriori dettagli. Ad esempio l’elenco dei domini contenuti nel log e le informazioni sull’indirizzo IP dell’host compromesso.
I Paesi presi di mira
Analizzando queste informazioni, l’unità di Threat Intelligence di Group-IB ha identificato i Paesi e le regioni con la più alta concentrazione di dispositivi infetti da stealer i cui log contengono credenziali ChatGPT. La regione Asia-Pacifico risulta la più colpita per numero di dispositivi con account ChatGPT carpiti dagli info stealer (40,5%) tra giugno 2022 e maggio 2023. Con 1.416 credenziali ChatGPT compromesse l’Italia si attesta quarta a livello europeo nell’elenco dei Paesi con il più elevato numero di dispositivi infetti da stealer i cui log contengono tali credenziali. La Francia risulta al primo posto in Europa e settimo nel mondo con 2.923 voci. Seguono la Spagna con 1.723 account e la Germania con 1.513.
Monitorare le comunità sotterranee
Giulio Vada, Head of Business Development di Group-IB in Italia
Molte aziende stanno integrando ChatGPT nel loro flusso operativo. I dipendenti se ne avvalgono per ottimizzare codici proprietari o la propria corrispondenza, anche confidenziale. Dato che la configurazione standard di ChatGPT conserva tutte le conversazioni, l’utente serve inavvertitamente a qualsiasi attore della minaccia in possesso delle credenziali dell’account tutta una serie di informazioni sensibili sul piatto d’argento. Group-IB monitora costantemente le comunità sotterranee per identificare prontamente eventuali account compromessi.
Come mitigare i rischi
Gli specialisti di Group-IB consigliano agli utenti di aggiornare regolarmente le loro password e di impiegare l’autenticazione a due fattori. Abilitando l’autenticazione a due fattori, agli utenti viene richiesto di fornire un codice di identificazione aggiuntivo, di solito inviato ai loro dispositivi mobili, prima di accedere al proprio account ChatGPT. Avere visibilità sulle comunità del dark web consente alle organizzazioni di accertare se i loro dati sensibili o informazioni sui clienti vengono divulgate o vendute.
Crescono gli account ChatGPT compromessi
La Threat Intelligence in tempo reale consente loro di agire in maniera proattiva per mitigare l’impatto, avvisare le persone coinvolte e rafforzare la loro postura in materia di sicurezza per prevenire ulteriori danni. Utilizzando queste tecnologie, le aziende beneficiano di una maggiore cognizione del panorama delle minacce. Quindi possono proteggere i propri asset in modo proattivo e prendere decisioni informate per rafforzare la propria strategia di cybersecurity.
