Il successo globale dell’intelligenza artificiale ha attirato, come spesso accade in ambito tecnologico, l’attenzione della criminalità informatica. Negli ultimi tempi si sta registrando una massiccia ondata di attacchi phishing mirati specificamente agli utenti di OpenAI, la società sviluppatrice di ChatGPT. La trappola scatta attraverso la ricezione di messaggi di posta elettronica ingannevoli che segnalano un presunto mancato pagamento dell’abbonamento mensile, sollecitando un intervento immediato per evitare la sospensione del servizio. Si tratta di una strategia subdola che fa leva sul timore di perdere l’accesso a uno strumento diventato ormai fondamentale per il lavoro e lo studio di milioni di persone.
I meccanismi dell’inganno e gli obiettivi dei truffatori
La truffa si basa su una riproduzione grafica particolarmente accurata delle comunicazioni ufficiali inviate da OpenAI. L’impostazione visiva, la scelta dei colori, i loghi e persino il tono formale utilizzato nella scrittura sono studiati per indurre la vittima a ritenere il messaggio del tutto genuino. I cybercriminali sanno perfettamente che la paura di subire un’interruzione del servizio può spingere gli utenti ad agire d’impulso, senza riflettere attentamente sulla veridicità della comunicazione. L’obiettivo principale di questa campagna fraudolenta non è intascare il costo della singola mensilità apparentemente scaduta, bensì mettere le mani su informazioni di valore ben superiore. I link contenuti nel testo reindirizzano infatti a pagine web clone dove viene richiesto di inserire i dati della carta di credito o le credenziali di accesso all’account. Una volta ottenuti questi dati, i truffatori possono svuotare i conti correnti delle vittime, compiere transazioni non autorizzate oppure rivendere i pacchetti di identità digitali nel dark web a organizzazioni criminali specializzate.
Come identificare le anomalie nei messaggi sospetti
Nonostante l’elevata qualità tecnica del phishing, un’analisi attenta consente di smascherare l’inganno prima di subire danni finanziari. Il primo elemento da verificare con estrema attenzione riguarda l’indirizzo di posta elettronica del mittente. OpenAI comunica esclusivamente attraverso i propri domini ufficiali, che corrispondono a openai.com, chat.openai.com oppure notices.openai.com. Nelle mail truffaldine intercettate dagli esperti di sicurezza, il mittente reale è spesso collegato a domini aziendali compromessi o a società straniere del tutto estranee alla tecnologia, come nel caso di provider di telecomunicazioni situati nelle isole Mauritius o domini registrati in Germania. Un altro controllo fondamentale consiste nel verificare la destinazione dei pulsanti interattivi presenti nel testo. Posizionando il cursore del mouse sopra il tasto dedicato all’aggiornamento del metodo di pagamento, senza fare clic, si può visualizzare l’indirizzo internet reale a cui si verrebbe reindirizzati. Nei messaggi falsi compaiono stringhe di testo confuse e URL che non mostrano alcuna correlazione con la reale piattaforma di fatturazione di OpenAI. Inoltre, queste comunicazioni di massa sono prive di personalizzazione, poiché non contengono il nome del destinatario né i dettagli specifici del piano tariffario sottoscritto.
Strategie di difesa e buone pratiche di sicurezza
Per proteggersi efficacemente da questa tipologia di minacce informatiche è essenziale adottare un approccio prudente e non farsi condizionare dal senso di urgenza trasmesso dalla mail. Quando si riceve un avviso relativo a problemi di fatturazione, la regola d’oro prevede di non fare mai clic sui collegamenti ipertestuali inseriti nel testo e di non scaricare eventuali allegati. La procedura corretta richiede di aprire in modo autonomo il browser internet, digitare l’indirizzo ufficiale della piattaforma di intelligenza artificiale, effettuare l’accesso al proprio profilo personale e controllare direttamente nella sezione dedicata ai pagamenti lo stato reale dell’abbonamento. Qualora non si riscontrino anomalie nel pannello di controllo ufficiale, si ha la certezza matematica di trovarsi di fronte a un tentativo di truffa. In questi casi è consigliabile effettuare segnalazioni alle autorità competenti, come la Polizia Postale, e procedere alla cancellazione immediata del messaggio per evitare errori futuri. Il controllo incrociato su forum di discussione o piattaforme di condivisione online come Reddit rappresenta un ulteriore strumento utile per verificare se altri utenti stanno riscontrando la medesima problematica nello stesso arco di tempo.
