Oszustwa ChatGPT i AI, na które należy uważać i których należy unikać
Opublikowany: 2023-05-29Odkąd ChatGPT został uruchomiony w listopadzie ubiegłego roku, okazał się nieskończenie użyteczny, a pracownicy na całym świecie codziennie znajdują innowacyjne sposoby stosowania tej technologii. Siła narzędzi sztucznej inteligencji jest jednak taka, że można ich również używać do podstępnych celów, takich jak pisanie złośliwych skryptów i e-maili phishingowych.
Wraz z wykorzystywaniem sztucznej inteligencji do organizowania oszustw, w ciągu ostatnich sześciu do ośmiu miesięcy zauważono hakerów wykorzystujących gorący temat do wyłudzania pieniędzy i kradzieży informacji za pośrednictwem fałszywych możliwości inwestycyjnych i oszukańczych aplikacji.
Oszustwa AI należą do najtrudniejszych do zidentyfikowania, a wiele osób nie inwestuje w narzędzia takie jak antywirus Surfshark , który ostrzega użytkowników przed wejściem na podejrzane strony internetowe lub pobraniem podejrzanej aplikacji. Dlatego przygotowaliśmy ten przewodnik po wszystkich typowych taktykach, które ostatnio zaobserwowano w dziczy. W sumie w tym artykule omawiamy:
- Oszustwa AI: jak powszechne są?
- Oszustwa phishingowe wspomagane sztuczną inteligencją
- Oszustwa związane z klonowaniem głosu AI
- Fałszywe aplikacje ChatGPT
- Fałszywe strony ChatGPT
- Oszustwa związane z inwestycjami AI
- Oszustwa AI: będą się tylko pogarszać
Oszustwa AI: czym są i jak powszechne są?
Jak wspomnieliśmy we wstępie do tego artykułu, „oszustwa AI” mogą odnosić się do dwóch różnych gatunków oszustw, których przykłady pojawiały się regularnie w 2023 roku.
W oszustwach wspomaganych przez sztuczną inteligencję sztuczna inteligencja pomaga oszustowi faktycznie popełnić oszustwo, na przykład napisać tekst wiadomości e-mail phishingowej. Ogólnie rzecz biorąc, oszustwa związane z sztuczną inteligencją haker wykorzystuje popularność i duchowy charakter sztucznej inteligencji jako temat do intrygowania ciekawskich celów, takich jak fałszywe oszustwo aplikacji ChatGPT.
Kalifornijski DFPI odnotował wzrost liczby oszustw związanych z inwestycjami w sztuczną inteligencję, podczas gdy firmy zajmujące się bezpieczeństwem cybernetycznym, takie jak McAfee, zaobserwowały wzrost liczby oszustw związanych z klonowaniem głosu AI w ostatnich miesiącach.
Wybuchowa premiera ChatGPT doprowadziła również do powstania fali złośliwych domen, co również zostanie omówione w tym artykule.
Niedawno współzałożyciel Apple, Steve Wozniak – niedawny sygnatariusz listu wzywającego do wstrzymania rozwoju sztucznej inteligencji – ostrzegł, że sztuczna inteligencja znacznie utrudni wykrycie oszustw i sprawi, że złośliwi aktorzy będą brzmieć coraz bardziej przekonująco. Nadeszła era oszustw wspomaganych przez sztuczną inteligencję.
Podobnie jak oprogramowanie ransomware jako usługa obniżyło poziom umiejętności technicznych potrzebnych do zaatakowania firmy, narzędzia sztucznej inteligencji, takie jak ChatGPT, oznaczają, że prawie każdy może brzmieć przekonująco, więc teoretycznie większa grupa demograficzna może teraz skutecznie je zorganizować.
Oszustwa phishingowe wspomagane sztuczną inteligencją
Oszustwa związane z phishingiem istnieją od lat — oszuści wysyłają e-maile lub wiadomości tekstowe podszywając się pod legalną firmę, taką jak Microsoft, próbując skłonić Cię do kliknięcia łącza prowadzącego do złośliwej witryny.
Stamtąd cyberprzestępca może wstrzyknąć złośliwe oprogramowanie do Twojego urządzenia lub ukraść dane osobowe, takie jak hasło. Historycznie jednym z najłatwiejszych sposobów ich wykrycia były błędy ortograficzne i gramatyczne, których firma tak prestiżowa jak Microsoft po prostu nie zrobiłaby w oficjalnym e-mailu do swoich klientów.
Jednak w 2023 roku, za pomocą prostego monitu, ChatGPT może wygenerować czystą, płynną kopię, która nie zawiera żadnych błędów ortograficznych. To znacznie utrudnia odróżnienie legalnej korespondencji od ataków typu phishing.
Jeśli wyraźnie poprosisz ChatGPT o utworzenie wiadomości e-mail w celu wyłudzenia informacji, chatbot odmówi. Jednak poprosiliśmy ChatGPT o stworzenie dwóch różnych typów wiadomości e-mail, które mogłyby zostać wykorzystane jako szablon oszustwa typu phishing, i co zaskakujące, wydaje się, że tego rodzaju żądania nie są blokowane zgodnie z jego zasadami dotyczącymi treści:
Ochrona przed oszustwami phishingowymi opartymi na sztucznej inteligencji
Jeśli otrzymasz wiadomość e-mail, która wygląda, jakby pochodziła od legalnej firmy, ale próbuje zaszczepić poczucie pilności przy podejmowaniu decyzji (na przykład z prośbą o zapłacenie grzywny lub zalogowanie się na konto w celu uniknięcia usunięcia), to z najwyższą ostrożnością. Jest to typowa taktyka phishingowa.
Pamiętaj, jeśli uważasz, że wiadomość e-mail jest najprawdopodobniej autentyczna, zawsze możesz otworzyć nową linię komunikacji z osobą lub firmą.
Na przykład, jeśli otrzymasz z banku podejrzanie wyglądającą wiadomość e-mail z informacją, że do Twojego konta uzyskała dostęp nieupoważniona osoba trzecia, nie odpowiadaj na tę wiadomość — po prostu skontaktuj się z zespołem obsługi klienta banku, korzystając z numeru lub adresu podanego na ich strona internetowa.
Oszustwa związane z klonowaniem głosu AI
Oszustwa AI Voice to rodzaj oszustwa wspomaganego przez sztuczną inteligencję, który trafia na pierwsze strony gazet w ostatnich miesiącach. Niedawno przeprowadzone globalne badanie McAfee wykazało, że 10% respondentów było już osobiście celem oszustwa głosowego opartego na sztucznej inteligencji. Kolejne 15% stwierdziło, że zna kogoś, kto był celem ataku.
11% ofiar w USA, które straciły pieniądze podczas oszustw związanych z klonowaniem głosu AI, zostało oszukanych na kwotę od 5 000 do 15 000 USD.
W oszustwach głosowych opartych na sztucznej inteligencji złośliwi aktorzy pobierają dane dźwiękowe z konta w mediach społecznościowych celu, a następnie przepuszczają je przez aplikację zamiany tekstu na mowę, która może generować nowe treści w stylu oryginalnego dźwięku. Tego rodzaju aplikacje są dostępne online za darmo i mają legalne, nieszkodliwe zastosowania.
Oszust utworzy wiadomość głosową lub notatkę głosową przedstawiającą swój cel w niebezpieczeństwie i desperackiej potrzebie pieniędzy. Zostanie to następnie wysłane do członków ich rodzin, mając nadzieję, że nie będą w stanie odróżnić głosu ukochanej osoby od wersji wygenerowanej przez sztuczną inteligencję.
Ochrona przed oszustwami głosowymi AI
Federalna Komisja Handlu (FTC) radzi konsumentom, aby zachowali spokój, jeśli otrzymają korespondencję, która rzekomo pochodzi od ukochanej osoby w niebezpieczeństwie, i aby spróbowali zadzwonić pod numer, z którego otrzymali połączenie, aby potwierdzić, że jest on w rzeczywistości prawdziwy.
Jeśli uważasz, że jesteś w takiej sytuacji i nie możesz zadzwonić pod ten numer, wypróbuj normalny numer telefonu danej osoby. Jeśli nie otrzymasz odpowiedzi, spróbuj zweryfikować ich miejsce pobytu, kontaktując się z bliskimi im osobami – i sprawdź aplikacje, takie jak Znajdź moich znajomych, jeśli ich używasz, aby sprawdzić, czy są w bezpiecznym miejscu.
Jeśli nie możesz zweryfikować ich miejsca pobytu, bardzo ważne jest, aby natychmiast skontaktować się z organami ścigania. Jeśli okaże się, że to oszustwo, zgłoś to bezpośrednio do FTC.
Oszukańcze aplikacje ChatGPT
Tak jak w przypadku każdego innego wielkiego szaleństwa technologicznego, jeśli ludzie o tym mówią – a co ważniejsze, szukają tego – oszuści wykorzystają to do niecnych celów. ChatGPT jest tego najlepszym przykładem.
Niedawny raport Sophos znalazł mnóstwo aplikacji sąsiadujących z ChatGPT, które nazwał „fleeceware”. Aplikacje Fleeceware zapewniają bezpłatny program z ograniczoną funkcjonalnością, a następnie bombardują użytkowników reklamami w aplikacji, dopóki nie zarejestrują się w zawyżonej cenie subskrypcji.
Według firmy zajmującej się cyberbezpieczeństwem, „wykorzystując kombinację reklam w sklepach z aplikacjami i poza nimi oraz fałszywych recenzji, które oszukują systemy oceny sklepów, twórcy tych wprowadzających w błąd aplikacji są w stanie zwabić niczego niepodejrzewających użytkowników urządzeń do ich pobrania”.
Według SensorTower jedna fałszywa aplikacja ChatGPT o nazwie Genie, która oferuje subskrypcje w wysokości 7 USD tygodniowo lub 70 USD rocznie, zarobiła 1 milion USD w okresie miesięcznym. Inni zarobili dziesiątki tysięcy funtów. Inny, o nazwie „Chat GBT” w sklepie Android, został specjalnie nazwany w raporcie Sophos:
(Źródło zdjęcia: Sophos)
Według firmy zajmującej się cyberbezpieczeństwem funkcje „pro”, za które użytkownicy płacą ogromne sumy, są „zasadniczo takie same” jak wersja bezpłatna. Zgłaszają również, że zanim aplikacja została usunięta, sekcja recenzji była zaśmiecona „komentarzami osób, które pobrały aplikację i stwierdziły, że nie działa – albo wyświetlała tylko reklamy, albo nie odpowiadała na pytania po odblokowaniu”.
Ochrona przed fałszywymi oszustwami aplikacji ChatGPT
Najprostszym sposobem uniknięcia tego rodzaju opłat abonamentowych – lub pobrania niechcianego złośliwego oprogramowania – jest po prostu nie pobieranie aplikacji. Użytkownicy iPhone'a mogą teraz pobrać oficjalną aplikację ChatGPT, która została niedawno uruchomiona. Intrygujące będzie sprawdzenie, czy oznacza to upadek fałszywych aplikacji ChatGPT, które obecnie zapełniają App Store.
Alternatywnie, zarówno użytkownicy iOS, jak i Androida mogą dodać łącze internetowe ChatGPT do swojego ekranu głównego, a jeśli jesteś użytkownikiem iPhone'a, możesz utworzyć skrót Siri, który zabierze Cię bezpośrednio do ChatGPT w Internecie. W tym kontekście istnieje niewielka praktyczna różnica między skrótem na ekranie głównym a natywną aplikacją.
Fałszywe strony ChatGPT
Oprócz fałszywych aplikacji ChatGPT istnieje również kilka fałszywych witryn ChatGPT, które wykorzystują ogromną liczbę wyszukiwań wokół tego terminu.
W lutym 2023 r. użytkownik Twittera, Alvosec, zidentyfikował cztery domeny, z których wszystkie rozpowszechniały złośliwe oprogramowanie pod nazwą związaną z ChatGPT:
️ Uważaj na te domeny #ChatGPT, które rozpowszechniają złośliwe oprogramowanie
chat-gpt-windows[.]com
chat-gpt-online-pc[.]com
czat-gpt-pc[.]online
chat-gpt[.]run@OpenAI #cybersecurity #infosec pic.twitter.com/hOZIVGN4Wi— Alvosec ️ (@alvosec) 23 lutego 2023 r
W niektórych raportach zauważono, że fałszywe witryny ChatGPT przedstawiają chatbota OpenAI jako aplikację Windows do pobrania, a nie aplikację w przeglądarce, co pozwala im na ładowanie złośliwego oprogramowania na urządzenia.
Jak chronić się przed fałszywymi witrynami ChatGPT
Pamiętaj, że ChatGPT jest produktem OpenAI, a jedynym sposobem uzyskania dostępu do chatbota jest aplikacja mobilna lub konkretnie ich domena. Na przykład „ChatGPT[.]com” nie ma nic wspólnego z prawdziwym, legalnym ChatGPT i nie można pobrać ChatGPT tak, jakby to był klient programowy.
Co dziwne, adres URL legalnej strony docelowej rejestracji/logowania ChatGPT nie zawiera nawet słowa „ChatGPT”: https://chat.openai.com/auth/login.
Możesz także zarejestrować się za pośrednictwem bloga OpenAI (https://openai.com/blog/chatgpt), ale znowu jest to część domeny OpenAI. Jeśli ktoś prześle Ci link do strony ChatGPT, która nie prowadzi do żadnego z powyższych adresów, radzimy nie klikać go i zamiast tego przejść do legalnej witryny za pośrednictwem Google.
Oszustwa związane z inwestycjami AI
Podobnie jak w przypadku kryptowalut, oszuści wykorzystują szum wokół sztucznej inteligencji – a także samą technologię – do tworzenia fałszywych okazji inwestycyjnych, które wydają się prawdziwe.
„TeslaCoin” i „TruthGPT Coin” były wykorzystywane w oszustwach, podszywając się pod szum medialny wokół Elona Muska i ChatGPT oraz przedstawiając się jako modne możliwości inwestycyjne.
Kalifornijski Departament Ochrony Finansowej i Innowacji twierdzi, że firma o nazwie Maxpread Technologies stworzyła fałszywego prezesa wygenerowanego przez sztuczną inteligencję i zaprogramowała go za pomocą skryptu zachęcającego graczy do inwestowania (na zdjęciu poniżej). Firmie wydano nakaz zaniechania i powstrzymania się.
(Źródło zdjęcia: coinstats.app)
Forbes donosi, że inna firma inwestycyjna, Harvest Keeper – która według DFPI upadła w marcu – zatrudniła aktora, który udawał ich dyrektora generalnego, aby panować nad entuzjastycznymi klientami. Ilustruje to, jak daleko posuną się niektórzy oszuści, aby upewnić się, że ich oferta jest wystarczająco realistyczna.
Ochrona przed oszustwami inwestycyjnymi AI
Jeśli ktoś, kogo nie znasz, zwraca się do Ciebie bezpośrednio z możliwościami inwestycyjnymi, traktuj jego wskazówki z najwyższą ostrożnością. Wartościowe możliwości inwestycyjne zwykle nie wpadają ludziom w ten sposób.
Jeśli brzmi to zbyt dobrze, aby mogło być prawdziwe, a ktoś oferuje gwarantowane zwroty, nie wierz mu. Zwrot z inwestycji nigdy nie jest gwarantowany, a Twój kapitał jest zawsze zagrożony.
Jeśli jesteś osobą, która regularnie inwestuje w firmy, wiesz, jak ważne jest dołożenie należytej staranności przed rozstaniem się z ciężko zarobionymi pieniędzmi. Zalecamy zastosowanie jeszcze wyższego poziomu kontroli do potencjalnych inwestycji w sztuczną inteligencję, biorąc pod uwagę szum wokół powiązanych produktów i rozpowszechnienie oszustw.
Oszustwa AI: będą się tylko pogarszać
W 2022 roku amerykańscy konsumenci stracili ogromne 8,8 miliarda dolarów z powodu oszustw – i jest mało prawdopodobne, aby w 2023 roku było inaczej. Okresy niestabilności finansowej często korelują również ze wzrostem oszustw, a na całym świecie wiele krajów boryka się z trudnościami.
Obecnie sztuczna inteligencja to kopalnia złota dla oszustów. Wszyscy o tym mówią, ale niewielu naprawdę wie, co jest czym, a firmy o różnych kształtach i rozmiarach spieszą się z wprowadzaniem produktów AI na rynek.
W tej chwili szum wokół sztucznej inteligencji sprawia, że jest to najbardziej możliwy do pobrania, zainwestowania i kliknięcia temat w Internecie. Stanowi doskonałą przykrywkę dla oszustów.
Ważne jest, aby być na bieżąco z najnowszymi oszustwami, które krążą, a ponieważ sztuczna inteligencja znacznie utrudnia ich wykrycie, jest to tym ważniejsze. FTC, FBI i inne agencje federalne regularnie publikują ostrzeżenia, dlatego zdecydowanie zaleca się śledzenie ich w mediach społecznościowych w celu uzyskania najnowszych aktualizacji.
Jednak zalecamy również zakup VPN z wykrywaniem złośliwego oprogramowania, takiego jak NordVPN lub Surfshark . Oba ukryją Twój adres IP jak standardowa sieć VPN, ale także ostrzegają o podejrzanych witrynach czających się na stronach wyników wyszukiwania Google. Wyposażanie się w takie technologie jest ważną częścią zapewnienia sobie bezpieczeństwa w Internecie.