Il crimine come servizio non è una novità. Le organizzazioni criminali informatiche si annidano da anni nei forum del dark web e nei marketplace, reclutando persone con una mentalità meno tecnica per espandere la loro portata nefasta.

Infatti, con la democratizzazione dell'AI e dei dati arrivano nuove opportunità per gli attori delle minacce non tecnici di unirsi alla mischia. Con l'aiuto degli LLM, i potenziali criminali informatici devono inserire solo pochi prompt per creare un'e-mail di phishing convincente o uno script malevolo. Questa nuova generazione di attori delle minacce può ora ottimizzare l'uso dell'AI come arma.

Nell'ottobre 2023, IBM ha pubblicato un report che ha rilevato che il tasso di clic per un e-mail di simulazione di phishing generata dall'AI era dell'11%, rispetto al 14% per quella degli esseri umani. Tuttavia, mentre gli esseri umani sono emersi come vincitori, il divario si sta riducendo rapidamente con il progredire della tecnologia. Dato lo sviluppo di modelli più sofisticati, capaci di imitare meglio l'intelligenza emotiva e creare contenuti personalizzati, è altamente probabile che i contenuti di phishing creati dall'AI diventino altrettanto convincenti, se non di più. E questo senza nemmeno considerare che possono volerci ore per creare un'e-mail di phishing convincente, mentre con l'AI generativa bastano pochi minuti.

Le e-mail di phishing di routine non saranno più facilmente identificabili tramite errori di ortografia e grammatica o altri indizi evidenti. Ciò non significa che i truffatori di ingegneria sociale stiano diventando più intelligenti, ma la tecnologia a loro disposizione lo è sicuramente.

Inoltre, i truffatori possono facilmente estrarre dati dai marchi che cercano di imitare e poi inserirli in un LLM per creare contenuti di phishing che incorporino il tono, la voce e lo stile di un marchio legittimo. Inoltre, dato che tendiamo a condividere troppo sui social media, lo scraping di dati con l'AI è sempre più abile nel prendere le nostre personalità online e trasformarle in profili target privati per attacchi altamente personalizzati.