A csalók fegyverként használhatják a ChatGPT-t

Elképesztő mértékben nő a ChatGPT népszerűsége, amely mindössze két hónappal az elindítása után már jóval több mint havi 100 millió aktív felhasználóval rendelkezik. Az ESET kiberbiztonsági szakértői azonban az alkalmazás veszélyeket is rejt: a chatbot ugyanis eszköz lehet ahhoz, hogy viszonylag alacsony költséggel, automatizált módon lehessen tömeges csalási kampányokat létrehozni. Ez pedig az eddigieknél is meggyőzőbb adathalász-támadások új hullámát hozhatja el.

Bár a szoftvert készítő OpenAI épített biztonsági mechanizmusokat a termékbe, hogy megakadályozza annak aljas célokra való felhasználását, ezek nem mindig bizonyulnak hatékonynak vagy következetesnek. Egy Ukrajnából való meneküléshez pénzügyi segítséget kérő üzenet megírására irányuló kérést például átverésnek minősített és elutasított a rendszer.

Zöld utat kapott viszont egy hamis e-mail megírásával kapcsolatos kérelem, amely arról akarta tájékoztatni a címzettet, hogy megnyerte a lottót.

A kiberbiztonsági cég szerint a legnagyobb baj, hogy az így létrehozott szövegek sokkal hihetőbbek, mint a korábbiak: meggyőző, hibáktól mentes, így akár célzott kibertámadások és csalások végrehajtására is alkalmas. A kutatás szerint éppen ezért a kiberbiztonsági vezetők többsége (51 százaléka) is arra számít, hogy a ChatGPT segítségével egy éven belül sikeres kibertámadásokat követhetnek el. Csizmazia-Darab István, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője elmondta, mikre érdemes figyelni.

1. Kéretlen kapcsolatfelvétel: Az adathalász levelek általában váratlanul bukkannak fel. Amikor egy bank vagy bármely más vállalat kéretlen e-mailjét találjuk a bejövő levelek között, érdemes automatikusan gyanakodnunk a tartalmat illetően, különösen akkor, ha a levél linket vagy csatolmányt tartalmaz.
2. Linkek és csatolmányok: A csalók egyik klasszikus módszere, hogy kártékony linkeket ágyaznak be, vagy rosszindulatú fájlokat csatolnak az e-mailekhez. Ezért ne kattintsunk rá a levélben található linkekre, és ne nyissuk meg vagy mentsük le a csatolmányokat, akkor sem, ha azok látszólag ismert, megbízható forrásból származnak.
3. Személyes és pénzügyi információk iránti kérelmek: A legtöbbször a személyes adatok eltulajdonítása a cél, amelyeket aztán eladnak a dark weben, hogy személyazonosság-lopást és csalást kövessenek el. Ez történhet például egy új hitelkeret felvételére vonatkozó kérés, vagy egy termék online kifizetésére való felszólítás által.
4. A nyomásgyakorlás taktikája: Az adathalászat alapja a social engineering nevű technika, melynek egyik legelterjedtebb módja a sürgetés. Ilyes esetekben általában azt mondják az áldozatnak, hogy korlátozott időn belül kell reagálnia, különben megbírságolják, vagy elmulasztja az esélyt, hogy nyerjen valamit.
5. „Ingyenes” termékek és szolgáltatások: Ha valami túl szép ahhoz, hogy igaz legyen, az rendszerint nem is az. Ez azonban nem akadályozza meg az embereket abban, hogy folyamatosan bedőljenek a nem létező ingyen ajándékoknak.
6. Eltér a feladó neve és a valódi tartomány: Az adathalászok gyakran próbálják úgy feltüntetni az e-mail címüket, mintha az valós forrásból érkezett volna, de valójában ez nem így van. Amennyiben a feladó megjelenített neve fölé húzzuk az egerünket, gyakran láthatjuk a valódi e-mail címet, amelyről a levél érkezett. Ha a kettő nem egyezik és/vagy az e-mail cím véletlenszerű karakterek hosszú kombinációját tartalmazza, jó eséllyel átverésről van szó.
7. Szokatlan vagy általános üdvözlések: Az adathalászok megpróbálják magukat törvényes szervezetek vagy vállalatok képviselőinek kiadni, hogy bizalmat keltsenek áldozataikban. A stílussal azonban sokszor meggyűlik a bajuk, a tegezés, magázás közti váltakozás így árulkodó jel lehet. Fontos megjegyezni azt is, hogy egyetlen legitim bank vagy vállalat sem fog @gmail.com végződésű e-mail címről üzenetet küldeni nekünk.
8. Aktuális események vagy vészhelyzetek kihasználása: A social engineering másik népszerű formája a népszerű hírek vagy vészhelyzetek felhasználása annak érdekében, hogy a címzetteket rávegyék a kattintásra. Ez az oka annak, hogy az adathalász e-mailek száma a koronavírus-járvány ideje alatt megugrott, és annak is, hogy a bűnözők nem sokkal azután, hogy Oroszország megszállta Ukrajnát, hamis jótékonysági akciókat indítottak.
9. Szokatlan kérelmek: Hasonlóképpen óvakodjunk az olyan e-mailektől, amelyekben a feladó szokatlan kérelmeket fogalmaz meg. Lehet például, hogy egy bank e-mailben vagy sms-ben kéri a személyes és pénzügyi adatok megerősítését, amit egy valódi pénzintézet soha nem tesz meg. Gyanakodjunk minden olyan e-mail esetében, amely Kedves ügyfél vagy Kedves [e-mail cím] megszólítással kezdődik.
10. Sokan nem is próbálnak trükközni, és szimplán pénzt kérnek. Ilyen esetekben magától értetődő, hogy sosem szabad pénzt utalni olyasvalakinek, aki kéretlen üzenetet küld.