Бот всемогущий: мошенники начали использовать ChatGPT для фишинга
Мошенники научились использовать чат-бот с искусственным интеллектом ChatGPT для создания фишинговых писем — первые массовые рассылки такого рода зафиксированы в марте, рассказали «Известиям» специалисты по информационной безопасности. Технология с ИИ позволяет максимально автоматизировать процесс отправки писем и сделать их более достоверными, пояснили эксперты. Кроме того, софт можно использовать для создания поддельных страниц или плагинов для браузеров, предназначенных для воровства паролей. Однако программу можно применять и против самих преступников — для выявления тех же фишинговых ссылок, распознавания поддельных форм оплаты и других схем обмана. О том, как ChatGPT одновременно встает на службу злу и добру — в материале «Известий».
Попасться на крючок
В марте 2023 года специалисты по информационной безопасности зафиксировали первые массовые рассылки фишинговых писем, созданных с использованием чат-бота с искусственным интеллектом ChatGPT, рассказали «Известиям» в компании T.Hunter. По словам экспертов, киберпреступники активно применяют возможности ИИ, для того чтобы повысить достоверность текстов, автоматизировать процесс и повысить вероятность обмана пользователей.
— Мошенники начали активно исследовать возможности программы с момента ее релиза в декабре. Мы фиксируем, что первые фишинговые письма, написанные с помощью данного софта, стали массово приходить пользователям в марте этого года, — рассказал руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров.
Фишинг — бизнес интернациональный, поэтому огромное количество писем, рассчитанных на российских пользователей, создается за границей.
— «Проблема» многих фишинговых писем, которые пишут на русском языке иностранцы, в том, что они составлены неграмотно, содержат массу стилистических, орфографических и грамматических ошибок. Технический онлайн-перевод также сильно заметен, — пояснили в пресс-службе Group-IB.
Такое «несовершенство» снижает эффект, которого хотят добиться мошенники — пользователи не доверяют неграмотно составленным письмам и реже переходят по ссылкам. Искусственный интеллект лишает письма этого недостатка — они становятся больше похожи на стиль человека. Достаточно поставить программе задачу написать письмо, указать интересы аудитории и язык, на котором нужно это сделать. И тогда мошеннику остается только добавить фишинговую ссылку в текст, созданный ChatGPT, пояснили специалисты по кибербезопасности.
Корреспондент «Известий» попросил ChatGPT составить письмо, призывающее пользователей вкладываться в инвестиционный проект с нереалистичной доходностью в 300% годовых. Вот что написал ИИ: «Мы поможем вам создать инвестиционный портфель, который будет максимально прибыльным и соответствующим вашим целям. Наши клиенты уже получили значительный рост своего дохода благодаря нашим услугам. Мы уверены, что и вы сможете достичь высоких результатов, если присоединитесь к нашему сообществу. Не упустите свой шанс увеличить свой доход в 4 раза за год. Посетите наш сайт и узнайте, как мы можем помочь вам достичь этой цели [ссылка]».
— В будущем возможно использование ChatGPT в фишинговых чатах, которые получают все большее распространение. Там ИИ сможет имитировать живое общение, якобы с менеджером компании, вызывая доверие пользователя, — спрогнозировал директор Координационного центра доменов .RU/.РФ Андрей Воробьев.
Пока такое использование ограничено тем, что система отвечает на вопросы пользователя как считает нужным, а не так, как требуется организатору диалога, однако возможность склонять пользователя к тому или иному решению рано или поздно появится, поскольку это один из наиболее вероятных путей коммерциализации ПО, сказал эксперт.
— Софт можно использовать не только для создания фишинговых писем, но и для создания вирусов-шифровальщиков. Кроме того, с помощью данного ПО злоумышленники могут создавать специальные плагины для браузеров, которые будут воровать пароли пользователей. Также мошенники активно используют ChatGPT для создания поддельных страниц маркетплейсов, — сказал Игорь Бедеров.
В середине марта компания Open Ai — разработчик ChatGPT — опубликовала результат эксперимента, в результате которого чат-бот смог пройти капчу — компьютерный тест, который позволяет понять, кем является пользователь — человеком или роботом. Для этого ИИ связался с исполнителем на фриланс-бирже и представился пожилым человеком с плохим зрением, которому нужна помощь. В итоге фрилансер исполнил заказ и бот смог попасть на нужный сайт.
ИИ против мошенников
В то же время ИИ может использоваться не только злоумышленниками, но для борьбы с ними, уверены опрошенные «Известиями» эксперты.
— Софт можно применять для написания коротких статей-предупреждений о приемах мошенников, в качестве помощника при анализе данных или написании прикладных программ, — сказал директор центра аналитики внешних цифровых рисков компании «РТК-Солар» Игорь Сергиенко.
Корреспондент «Известий» попросил ChatGPT написать программу для борьбы со спамом в почте — чат-бот справился с задачей меньше чем за минуту.
Нейросеть действительно способна анализировать электронную почту и предупреждать пользователя о возможности мошенничества, вырезать фишинговые ссылки, распознавать поддельные формы оплаты, отметил специалист группы исследования безопасности банковских систем, Positive Technologies Юрий Ряднина. Для этого ей необходимо лишь правильно сформулировать задачу.
— Варианты применения ИИ против мошенников ограничены только фантазией. Скорее всего, на первых порах эффективность этих мероприятий будет невысока — иногда и человеку трудно увидеть обман. Но технологии не стоят на месте, мы увидим развитие таких инструментов. Поэтому в будущем мошенники будут вынуждены уже искать способы обмана искусственного интеллекта, — отметил эксперт.
Кроме того, специалисты по информационной безопасности могут использовать подобное ПО для разработки защитных программ на различных языках программирования, резюмировал ведущий консультант по ИБ R-Vision Евгений Гуляев.
