Con 26.802 voci nel solo mese di maggio 2023, il numero di log disponibili contenenti account ChatGPT compromessi ha raggiunto il suo picco.
Group-IB ha, infatti, individuato nel corso dell’ultimo anno 101.134 dispositivi infettati da stealer contenenti credenziali di accesso a ChatGPT. La piattaforma di Threat Intelligence di Group-IB ha rinvenuto le credenziali compromesse nei log commercializzati su piattaforme del dark web.
Gli esperti di Group-IB sottolineano che un crescente numero di persone impiega il chatbot per ottimizzare il proprio lavoro, che si tratti dello sviluppo di un software o di comunicazioni aziendali. Per impostazione predefinita, ChatGPT salva la cronologia delle richieste degli utenti e delle risposte fornite dall’intelligenza artificiale. Di conseguenza, l’accesso non autorizzato agli account ChatGPT potrebbe esporre informazioni riservate o sensibili al rischio di sfruttamento per attacchi mirati alle aziende e ai loro dipendenti. Secondo gli ultimi rilievi di Group-IB, gli account ChatGPT hanno già guadagnato una popolarità significativa presso le comunità sotterranee.
La maggior parte dei log contenenti account ChatGPT violata tramite info stealer Raccoon
La piattaforma di Threat Intelligence di Group-IB custodisce la più grande raccolta di dati del dark web del settore, monitora in tempo reale i forum dei cybercriminali, i marketplace e i gruppi chiusi per rilevare credenziali compromesse, carte di credito rubate, nuovi campioni di malware, accessi alle reti aziendali e altre informazioni critiche che consentono alle aziende di individuare e mitigare i rischi informatici prima che incorrano in ulteriori danni.
L’analisi dei marketplace sotterranei di Group-IB ha rivelato che la maggior parte dei log contenenti account ChatGPT è stata violata tramite il famigerato info stealer Raccoon. Il costante aumento delle compromissioni di account ChatGPT osservato dal team di Threat Intelligence di Group-IB nel corso dell’ultimo anno conferma la crescente popolarità del chatbot basato sull’IA.
Gli info stealer sono un tipo di malware che raccoglie credenziali, dettagli delle carte bancarie, informazioni sui portafogli di criptovalute, cookie, cronologia di navigazione e altre informazioni dai browser installati sui computer infetti, per poi inviarle all’operatore del malware. Gli stealer possono anche carpire dati da applicazioni di instant messaging e e-mail, insieme a informazioni dettagliate sul dispositivo della vittima. Gli stealer lavorano in modo non selettivo.
Questo tipo di malware infetta il maggior numero possibile di computer tramite phishing o altri mezzi al fine di raccogliere il maggior numero di dati possibile. A fronte della loro semplicità ed efficiacia, gli info stealer si stanno progressivamente affermando quale fonte principale di dati personali compromessi. I log compromessi contenenti le informazioni raccolte dagli info stealer vengono commercializzati attivamente sui marketplace del dark web. I log disponibili su tali piattaforme presentano anche ulteriori dettagli, tra cui l’elenco dei domini contenuti nel log e le informazioni sull’indirizzo IP dell’host compromesso.
Asia-Pacifico la regione più colpita per numero di dispositivi con account ChatGPT
Analizzando queste informazioni, l’unità di Threat Intelligence di Group-IB ha identificato i Paesi e le regioni con la più alta concentrazione di dispositivi infetti da stealer i cui log contengono account ChatGPT. La regione Asia-Pacifico risulta la più colpita per numero di dispositivi con account ChatGPT carpiti dagli info stealer (40,5%) tra giugno 2022 e maggio 2023.
Con 1.416 credenziali ChatGPT compromesse l’Italia si attesta quarta a livello europeo nell’elenco dei Paesi con il più elevato numero di dispositivi infetti da stealer i cui log contengono tali credenziali. La Francia risulta al primo posto in Europa e settimo nel mondo con 2.923 voci. Seguono la Spagna con 1.723 account e la Germania con 1.513.
“Molte aziende stanno integrando ChatGPT nel loro flusso operativo”, afferma Giulio Vada, Head of Business Development di Group-IB in Italia. “I dipendenti se ne avvalgono per ottimizzare codici proprietari o la propria corrispondenza, anche confidenziale. Dato che la configurazione standard di ChatGPT conserva tutte le conversazioni, l’utente serve inavvertitamente a qualsiasi attore della minaccia in possesso delle credenziali dell’account tutta una serie di informazioni sensibili sul piatto d’argento. Group-IB monitora costantemente le comunità sotterranee per identificare prontamente eventuali account compromessi.”
Per mitigare i rischi associati agli account compromessi
Per mitigare i rischi associati agli account ChatGPT compromessi, gli specialisti di Group-IB consigliano agli utenti di aggiornare regolarmente le loro password e di impiegare l’autenticazione a due fattori. Abilitando l’autenticazione a due fattori, agli utenti viene richiesto di fornire un codice di identificazione aggiuntivo, di solito inviato ai loro dispositivi mobili, prima di accedere al proprio account ChatGPT.
Avere visibilità sulle comunità del dark web consente alle organizzazioni di accertare se i loro dati sensibili o informazioni sui clienti vengono divulgate o vendute. La Threat Intelligence in tempo reale consente loro di agire in maniera proattiva per mitigare l’impatto, avvisare le persone coinvolte e rafforzare la loro postura in materia di sicurezza per prevenire ulteriori danni. Utilizzando queste tecnologie, le aziende beneficiano di una maggiore cognizione del panorama delle minacce, possono quindi proteggere i propri asset in modo proattivo e prendere decisioni informate per rafforzare la propria strategia di cybersecurity.