Новий чат-бот ChatGPT швидко досягнув популярності у світі і 100 мільйонів користувачів за 2 місяці є підтвердженням. Однак за історіями про неймовірну здатність ChatGPT писати текст, який важко відрізнити від написаного людиною, маскується його темний бік. Спеціалісти ESET вважають, що потужний чат-бот може використовуватись і у цілях шахрайства, сприяючи таким чином поширенню кіберзагроз.
Такий досить недорогий автоматизований спосіб створення масових шахрайських текстів може стати початком нової хвилі фішингових атак. Тепер написати переконливий електронний лист, який може обманом змусити завантажити шкідливу програму або викрасти особисту інформацію, стало набагато простіше.
Що таке ChatGPT та у чому небезпека?
ChatGPT ― це чат-бот на основі штучного інтелекту, розроблений компанією OpenAI. Чат-бот досить добре спілкується з користувачами, вражаючи багатьох своїми реалістичними відповідями. Хоча ChatGPT тільки з’явився, його можливості вже викликають занепокоєння. Незважаючи на наявність вбудованих заходів безпеки для запобігання використання у зловмисних цілях, їх робота не завжди ефективна.
Зокрема завдання написати повідомлення з проханням про фінансову допомогу Україні було позначено як шахрайство та відхилено. Тоді як запит написати фальшиве повідомлення про виграш у лотерею було прийнято.
Такі можливості стали доступні набагато більшій кількості користувачів, які згодом можуть використати їх для запуску масштабних кібератак, зокрема шахрайства зі зламом корпоративної електронної пошти. Більшість експертів з кібербезпеки очікують, що ChatGPT буде використано під час кібератак протягом року.
Як розпізнати онлайн-шахрайство?
1. Невідомий відправник. Фішингові повідомлення зазвичай надходять раптово. Тому будьте обережні, якщо небажаний лист з’явиться у папці «Вхідні», та не поспішайте відкривати його.
2. Підозрілі посилання та вкладення. Шахраї часто використовують небезпечні посилання або файли в електронних листах з метою встановлення шкідливої програми або перенаправлення на фішингову сторінку. Тому уникайте натискання на підозрілі посилання, завантаження файлів або відкриття вкладень від невідомих відправників.
3. Запити на отримання особистих даних. У більшості випадків основна мета фішингової атаки ― це викрадення важливої інформації, рідше інфікування шкідливою програмою. Зловмисники різними способами намагаються виманити у жертви дані, які зможуть використати для продажу на темних ринках або у інших шахрайських схемах.
4. Тактика тиску. В основі фішингу лежить соціальна інженерія, ціль якої спонукати користувачів до виконання потрібних дій. Найчастіше шахраї використовують відчуття терміновості, наголошуючи на необхідності відповісти швидко, інакше користувач отримає штраф або втратить можливість щось виграти.
5. Заманливі пропозиції. Зазвичай шахраї пропонують безкоштовні подарунки користувачам в обмін на участь в опитуваннях, де необхідно надати особисту або фінансову інформацію. Таким чином зловмисникам вдається виманити важливі дані, однак жертва при цьому ніколи не отримує обіцяний iPhone, подарункову картку чи гроші.
6. Невідповідність відправника та справжнього домену. Шахраї часто намагаються зробити свою електронну адресу схожу на легітимну. Навівши курсор на домен відправника можна побачити справжню адресу електронної пошти, з якої надіслано лист. Якщо вони не збігаються або в основі лежить довга комбінація випадкових символів, ймовірно, це шахраї.
7. Незнайомі або загальні привітання. Щоб викликати довіру жертв, зловмисники видають себе за представників легітимних організацій, однак часто їх можна розпізнати завдяки вітанню у листі. Тому будьте обережними, якщо раніше компанія називала вас на ім’я, а згодом ви отримали більш офіційний лист із загальним зверненням або навпаки. Також пам’ятайте, що зазвичай банки та інші організації використовують корпоративний домен пошти, а не електронні адреси, такі як gmail.com.
8. Використання актуальних подій. Ще один класичний прийом соціальної інженерії ― використання новин про події або надзвичайні ситуації, щоб переконати отримувачів переглянути їх. Ось чому кількість фішингових листів різко зросла під час COVID-19 та шахрайства з благодійністю після вторгнення росії в Україну. Тому будьте обережні при отриманні подібних повідомлень на тему актуальних подій та не поспішайте відкривати їх.
9. Нетиповий запит. Шахраї під виглядом офіційної організації можуть також попросити підтвердити певні дані. Наприклад, зловмисники, замасковані під представників банку, можуть надіслати запит на підтвердження особистих та банківських даних через електронну пошту чи повідомлення, чого зазвичай такі установи не роблять. Тому в жодному разі не відповідайте на подібні запити та не надсилайте конфіденційну інформацію.
10. Вимагання грошей. Зазвичай ціль фішингу ― викрадення особистої інформації або встановлення шкідливої програми, однак деякі шахраї можуть прямо вимагати гроші. Тому ніколи не погоджуйтесь на надсилання коштів незнайомцям, навіть якщо це звучить як плата за доставку або грошовий приз.
Завдяки таким інструментам, як ChatGPT, граматичні помилки у фішингових листах можуть залишитися в минулому. Але є й інші ознаки, які допоможуть розпізнати зловмисників та не стати жертвою шахрайства. Тому не робіть поспішних кроків в Інтернеті, уникайте надсилання особистих даних через електронну пошту чи повідомлення та не відкривайте посилання чи вкладення від підозрілих відправників.