I truffatori di criptovalute dirottano l'account X di OpenAI e prendono di mira gli utenti con link di phishing

Il 23 settembre, alcuni truffatori di criptovalute hanno dirottato l'account stampa ufficiale di OpenAI su X (ex Twitter), pubblicando link di phishing pensati per ingannare gli utenti.

Gli aggressori hanno promosso un token fraudolento denominato "OPENAI", sostenendo che avrebbe rivoluzionato l'integrazione della tecnologia blockchain con l'intelligenza artificiale.

Questa allarmante violazione non solo compromette la fiducia degli utenti, ma solleva anche importanti interrogativi sui protocolli di sicurezza che proteggono account di alto profilo come quello di OpenAI, che deve ancora riconoscere pubblicamente la violazione.

La truffa orchestrata sfruttava l'account rubato per promuovere un link di phishing che prometteva agli utenti la possibilità di acquisire una quota della nuova fornitura di token.

Secondo gli esperti di sicurezza, il falso token "OPENAI" è stato progettato appositamente per indurre gli utenti a collegare i loro portafogli crittografici.

Una volta effettuata questa connessione, gli utenti venivano indotti a firmare una transazione fraudolenta che garantiva ai truffatori il controllo sui loro asset digitali.

Secondo un rapporto di Chainalysis, gli attacchi di phishing di questa natura, spesso definiti "phishing di approvazione", hanno causato perdite per oltre 2,7 miliardi di dollari dal 2021.

Per impedire agli utenti di avvisarsi a vicenda sui contenuti dannosi, i truffatori hanno disabilitato la sezione commenti sui loro post, affermando ironicamente: "Commenti disattivati a causa di link dannosi. Buona fortuna a tutti!"

Questa tattica ingannevole aggiungeva un'illusione di legittimità, rendendo sempre più difficile per gli utenti riconoscere in tempo la truffa.

Un utente su X ha segnalato che il sito di phishing imitava da vicino il marchio di OpenAI, compreso il logo aziendale, convincendo ulteriormente i visitatori ignari.

Tuttavia, la richiesta di collegare un portafoglio ha rivelato le vere intenzioni della truffa, che avrebbe potuto portare al furto di beni da account compromessi.

Precedenti attacchi ai dirigenti di OpenAI

Questo incidente non è un evento isolato: i dirigenti di OpenAI sono stati spesso presi di mira da attacchi di phishing.

Di recente, l'account del ricercatore di OpenAI Jason Wei è stato hackerato per promuovere una truffa simile, mentre anche il capo scienziato Jakub Pachocki e il CTO Mira Murati sono caduti vittime di attacchi informatici.

Nel giugno 2023, l'account di Murati è stato utilizzato in un'operazione di phishing analoga, volta a ingannare gli utenti.

Sebbene questi attacchi presentino notevoli somiglianze, non è ancora chiaro se dietro di essi ci sia un singolo gruppo.

La situazione riflette un problema più ampio che affligge il panorama delle criptovalute.

In particolare, Decentraland, un progetto di realtà virtuale, ha recentemente subito un attacco simile: i truffatori hanno promosso un falso airdrop del suo token nativo, inducendo gli utenti a collegare i loro portafogli.

Man mano che le truffe di phishing diventano più sofisticate, gli aggressori sfruttano piattaforme di alto profilo e la fiducia che gli utenti ripongono nei marchi affermati.

Gli esperti di sicurezza sottolineano che l'aumento dei tentativi di approvazione tramite phishing rappresenta una minaccia crescente nei settori delle criptovalute e della blockchain.

Nonostante la rapida rimozione dei post di phishing, OpenAI non ha rilasciato una dichiarazione ufficiale in merito all'attacco informatico, sollevando preoccupazioni dato il ruolo significativo dell'azienda nella tecnologia dell'intelligenza artificiale.

Questa mancanza di comunicazione sottolinea l'urgente necessità di misure di sicurezza più efficaci per gli account dei social media ad alto traffico.

Con l'aumento degli attacchi di phishing legati alle criptovalute, gli utenti devono rimanere vigili per proteggersi dal rischio di cadere vittime di truffe simili.

Il rafforzamento dei protocolli di sicurezza informatica e la formazione degli utenti sui rischi del phishing sono misure essenziali per mitigare le perdite future.