Un collega ti manda un link. È una conversazione ChatGPT, il tipo di messaggio che in molte aziende circola decine di volte al giorno. La pagina si apre e sembra normale: interfaccia riconoscibile, colori corretti, logo in alto a sinistra. Al centro dello schermo, un avviso: il servizio è temporaneamente non disponibile, scarica l’app desktop per continuare. Lo scarichi. A quel punto l’attaccante ha già quello che cercava.
Questa sequenza descrive una campagna attiva documentata dai ricercatori di Push Security, chiamata LLMShare. Non sfrutta vulnerabilità zero-day, non richiede un errore tecnico del sistema operativo. Sfrutta qualcosa di più difficile da correggere: la familiarità. ChatGPT è uno strumento quotidiano, e un link a una conversazione condivisa non genera sospetto nemmeno in chi fa attenzione alle email di phishing tradizionale.
Come funziona l’attacco
Il meccanismo sfrutta una funzione legittima di ChatGPT: la condivisione pubblica delle conversazioni. Chiunque può generare un link a una propria chat e distribuirlo. Gli attaccanti usano questa funzione per costruire pagine convincenti: la struttura della pagina è autentica, l’URL può sembrare corretto a un’occhiata veloce, e il contenuto è progettato per innescare un’azione specifica.
La variante più diffusa mostra un messaggio di “disservizio temporaneo” con un pulsante per scaricare l’app desktop di ChatGPT. Cliccando, l’utente viene reindirizzato a una pagina che replica fedelmente il sito ufficiale di OpenAI. Il file scaricato è un infostealer: un software che raccoglie in silenzio credenziali, cookie di sessione e dati salvati nel browser, poi li trasmette all’attaccante senza lasciare tracce evidenti.
Perché questo attacco è più insidioso del phishing tradizionale
Le campagne di phishing classiche si basano su email che simulano mittenti noti. Negli ultimi anni i dipendenti sono stati formati a riconoscere quegli indizi: indirizzo email sospetto, tono urgente, link abbreviati. LLMShare bypassa questi filtri perché parte da un contenuto reale, su una piattaforma reale, accessibile da un URL legittimo di ChatGPT.
Il secondo fattore è il contesto aziendale. In molte organizzazioni condividere una conversazione AI con un collega è un gesto quotidiano: “guarda questo prompt che ho usato”, “ti mando la risposta che mi ha dato su quel problema”. Questo flusso normale è esattamente quello che l’attacco imita.
Cosa insegnare ai dipendenti
Tre punti concreti da includere in qualsiasi sessione di formazione sulla sicurezza:
1. ChatGPT non chiede mai di scaricare l’app da un link condiviso. Se una pagina raggiunta tramite un link ChatGPT propone il download di un file eseguibile o di un’app, è un attacco. L’app ufficiale di ChatGPT si scarica solo dagli store ufficiali o dal sito OpenAI, mai tramite un link in una conversazione condivisa.
2. L’URL da solo non basta. Un link che inizia con chatgpt.com può essere legittimo, ma la pagina a cui porta può essere costruita per ingannare. Verificare sempre l’URL completo nella barra del browser, non solo l’anteprima del link ricevuto.
3. Un messaggio di errore in una conversazione condivisa è un segnale di allarme. Le conversazioni ChatGPT condivise mostrano il testo della chat, non messaggi di sistema sul funzionamento del servizio. Qualsiasi overlay che chiede un’azione, download incluso, va trattato come sospetto e segnalato all’IT prima di procedere.
Cosa fare a livello aziendale
Formare i dipendenti su questo vettore specifico è il primo passo, ma non esaurisce il tema. Sul piano tecnico, alcune misure riducono il rischio in modo significativo:
- Autenticazione a due fattori su tutti gli account aziendali: anche se un infostealer raccoglie le credenziali, la 2FA blocca l’accesso non autorizzato agli account compromessi.
- Soluzioni EDR aggiornate: strumenti come Microsoft Defender for Endpoint rilevano l’esecuzione di infostealer prima che possano esfiltrare dati in modo significativo.
- Policy sull’uso degli strumenti AI: definire quali strumenti AI sono approvati, come vanno usati e quali link è opportuno condividere internamente riduce la superficie di attacco senza bloccare la produttività.
LLMShare non è l’ultimo attacco che sfrutterà gli strumenti AI più diffusi come superficie di ingaggio. Man mano che ChatGPT, Copilot e i loro equivalenti diventano parte dell’infrastruttura quotidiana delle PMI, diventano anche vettori di attacco sempre più interessanti per chi vuole colpire le aziende. La risposta non è smettere di usarli, è usarli con consapevolezza.
La sicurezza informatica parte dalle persone prima ancora che dagli strumenti. Scopri come costruire una cultura della sicurezza nella tua azienda e perché la cyber awareness è il presidio più efficace contro gli attacchi informatici.