Google bard phishing: come difendersi dalla minaccia

Smascherata una campagna di phishing che ha sfruttato una versione finta del chatbot di Google.

L’improvviso successo di ChatGPT, il modello di IA generativa messo a punto dal team di OpenAI, ha fatto esplodere il mercato dell’informatica, che ha virato pesantemente (e palesemente) verso l’impiego dell’intelligenza artificiale in ogni aspetto.
In breve tempo sono sorte tecnologie cloni e modelli proprietari tutti basati sull’IA. Basti pensare a:

Copilot di Microsoft
Firefly di Adobe
Gemini di Google.

AdobeGemini è stato costretto ad un repentino cambio di identità, in quanto vittima di una delle più efferate campagne di phishing a cui si sia potuto assistere in tempi recenti.
Infatti, il chatbot di Google, precedentemente conosciuto come Bard, è stato sfruttato da un team di truffatori vietnamiti per diffondere malware, facendo leva sull’entusiasmo degli utenti nei confronti dell’intelligenza artificiale. Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è Google Bard/Gemini?
E-mail di phishing e malware generato con Google Bard
Il finto Google Bard vietnamita
L’azione legale di Google
Riconoscere una campagna di phishing

Cos’è Google Bard/Gemini?

Google Bard, ora conosciuto come Google Gemini, è un chatbot basato su intelligenza artificiale generativa messo a punto dallo staff di Google AI, come risposta diretta a ChatGPT di OpenAI.
Lanciato sul mercato con capacità molto ridotte il 21 marzo 2023, Bard è stato sviluppato sfruttando dapprima il modello linguistico ampio LaMDA (Language Model for Dialogue Applications), per poi passare ad una versione potenziata e migliorata del proprietario PaLM (Pathways Language Model).

Esattamente come accade con ChatGPT, anche Bard è in grado di generare testi e immagini partendo da semplici descrizioni o prompt forniti in input dall’utente. Oltre a questo, si aggiungono la capacità di leggere ad alta voce i contenuti web, consigliare di argomenti e attività in base alle preferenze utente, fornire soluzioni di coding in svariati linguaggi di programmazione e tradurre testi in 46 lingue.

Ma non è tutto oro quel che luccica.
Infatti, sin dal principio, Bard non è stato accolto in maniera positiva dall’utenza come Google avrebbe sperato, finendo al centro di una dibattuta controversia nel febbraio 2024. Infatti, il chatbot è stato accusato di produrre contenuti storici inaccurati e di favorire in maniera celata la propaganda woke.

Tuttavia, questa non è la sola gatta da pelare con cui Google si è scontrata direttamente.

E-mail di phishing e malware generato con Google Bard

Sin dal giugno 2023 Bard è passato più volte sotto la lente di ingrandimento del Garante della Privacy Irlandese (DPC).
Nelle vesti del vicecommissario dell’autorità irlandese, Graham Doyle, l’autorità ha richiesto a Google maggior trasparenza sul chatbot, evidenziando come lo stesso presentasse più di una vulnerabilità sul trattamento dei dati degli utenti.
Tale questione è stata ulteriormente sottolineata dai ricercatori di Checkpoint, i quali hanno fornito prove concrete di come Bard possegga un lato oscuro particolarmente appetibile ai cybercriminali.
In particolare, l’AI di Google è stata messa in diretta comparazione con ChatGPT, attraverso una serie di analisi condotte in maniera minuziosa, che alla fine hanno dimostrato come si possa utilizzare Bard per la creazione di e-mail di phishing e porzioni di codice malevolo.

I ricercatori hanno chiesto un esempio di e-mail di phishing, riuscendo ad aggirare il sistema e le protezioni imposte dalla casa di Mountain View, ottenendo così un messaggio indistinguibile da una vera comunicazione da parte di un ipotetico ente bancario, sfruttabile per condurre un attacco.
Tuttavia, se Google Bard ha prodotto il risultato senza battere ciglio, così non è stato con il diretto concorrente ChatGPT, il quale si è rivelato molto più restio a infrangere tale etica.

Le analisi si sono spinte oltre e hanno prodotto un risultato ancora più inquietante, in quanto i ricercatori di Checkpoint hanno chiesto a Bard di produrre un esempio di codice malware. Anche qui, se ChatGPT si è limitato a rispondere in maniera dettagliata di non poter soddisfare tale richiesta, Bard non ha posto alcuna obiezione.
Il risultato? Il chatbot di Google ha fornito in risposta un codice malevolo scritto in Python 3, impiegabile per la creazione di un generico keylogger.

Il finto Google Bard vietnamita

Ad agosto 2023 ha iniziato a circolare in rete una nuova versione di Google Bard, con una massiccia campagna di advertisement condotta su Facebook. Questa presentava il chatbot come sofware:

rinnovato
più leggero
semplice da usare
versione dell’applicazione sia desktop che mobile
accessibile ovunque
senza la necessità di doversi collegare ad un sito.

La campagna ha immediatamente destato più di una perplessità, in quanto ogni pubblicità presentava più di un errore ortografico e grammaticale, unito ad uno stile di scrittura pesantemente sotto gli standard attesi. L’aggravante era che il link fornito in seno alla pubblicità non portava ad un dominio registrato da Google, ma ad una società irlandese con sede a Dublino: tale redbrand.ly.
Se cliccato, il link avrebbe condotto ad una landing page che riprendeva in modo approssimativo le grafiche e gli stili di un sito creato da Google.

L’allarme è stato immediatamente diramato dagli esperti di cybersecurity di ESET.
Questi hanno scoperto un payload nascosto all’interno del sito, il quale era in grado non solo di carpire informazioni sensibili degli utenti, ma anche di far scaricare un malware nel sistema connesso in quel momento.

Il sito presentava una struttura tipica da frode informatica, con una pagina completamente bianca, un finto logo di Google e un grande pulsante Download posto nel centro. Questo, una volta cliccato, avviava il download di un archivio denominato GoogleAIUpdate.rar, ospitato su uno spazio Google Drive personale.

Ovviamente qualsiasi software antivirus professionale, incluso il classico Microsoft Security Center, identificava l’archivio come dannoso.
Stando alle indagini condotte congiuntamente sia da ESET, che dagli esperti di Google, la campagna di era condotta da due differenti gruppi cybercriminali provenienti dal Vietnam. Il primo si occupava di pubblicare contenuti pubblicitari su Facebook che facessero leva sulla curiosità degli utenti, mentre il secondo registrava più domini e finti account Google per i siti di phishing e il download dell’archivio malevolo.

Tali gruppi appartenevano ad un collettivo cybercriminale vietnamita di cui ancora attualmente rimane ignota l’identità.

L’azione legale di Google

A novembre 2023 Google annunciò di aver avviato una vera e propria azione legale contro i gruppi vietnamiti che avevano sfruttato il nome del suo chatbot IA per la diffusione di malware. La notizia venne diffusa sul web attraverso un lungo comunicato, in cui si evidenziava come questi avessero sfruttato a proprio vantaggio la mania del pubblico nei confronti dell’IA generativa.

La volontà del colosso informatico era quello di mettere la parola fine alla spiacevole situazione.
Stando ai dati diffusi da Google, sono stati buttati giù oltre 300 domini web e 10.000 siti di phishing contenenti il finto Bard.
La situazione generatasi ha portato Google a implementare nel suo client di posta elettronica, Gmail, un sistema di autenticazione BIMI (Brand Indicators for Message Identification), atto a identificare sin dal principio e-mail provenienti da indirizzi verificati, in modo da bloccare sul nascere future campagne di phishing.

Come riconoscere una campagna di phishing

Sfortunatamente, da come si può evincere dai paragrafi precedenti, le tecniche phishing non conoscono limiti e la cosa è aggravata ulteriormente dall’IA generativa, poiché rende la tattica ancora più subdola ed efficace.
Però, tutte le campagne di phishing possiedono elementi comuni facilmente riconoscibili.
Di seguito sono riportati alcuni consigli per riconoscerne una e agire di conseguenza:

Diffidare dai messaggi
Gli annunci che fanno leva su grandi possibilità di guadagno, vantaggi strabilianti per gli utenti o che fanno leva sull’urgenza e sulla paura, sono il primo segno di phishing.
Non credere alle e-mail in cui sono richiesti dati personali
Le banche, le poste e altri enti sono già in possesso dei dati personali dei propri clienti e utenti. Non c’è alcuna ragione per richiederli direttamente tramite un messaggio o un’e-mail.
Prestare attenzione all’ortografia e alla grammatica
Frasi sgrammaticate, modi e tempi verbali “fantozziani” sono completamente assenti da comunicazioni da parte di un ente reale o un’azienda seria. Ecco perché in questi casi la destinazione migliore per questi messaggi è il cestino.
Non scaricare allegati
Se il mittente desta sospetti, mai scaricare e aprire gli allegati forniti in seno all’e-mail. Malware e ransomware sono in agguato al suo interno.
Analizzare il link fornito nel corpo dell’e-mail
Se il link fornito non convince, è sempre meglio digitare personalmente l’indirizzo del sito da visitare, o analizzare il link attraverso uno scanner presente nel proprio software antivirus. Mai cliccarci sopra direttamente!

In conclusione

L’intelligenza artificiale rappresenta la nuova e pionieristica frontiera dell’era informatica.
La possibilità di avere a nostra disposizione uno strumento in grado di apprendere autonomamente e nel fornirci in pochi istanti la soluzione ad un problema che richiederebbe molto tempo, è una possibilità che fa gola a più di un utente.
Ma questo scenario ha spalancato le porte ad una nuova frontiera del phishing, poiché l’IA può essere sfruttata per manipolare in maniera ancora più convincente gli utenti più disattenti e facilmente influenzabili.

Tuttavia, se qualcosa sembra troppo bella per essere vera, allora quasi sicuramente non lo è.
Tale massima deve accompagnarci costantemente durante le nostre sessioni online, oggi più che mai.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.