At skrive som en chef med ChatGPT, og hvordan man bliver bedre til at spotte phishing-svindel

ChatGPT har taget verden med storm, efter at have nåede 100 millioner brugere kun to måneder efter lanceringen. Mediehistorier om værktøjets uhyggelige evne til at skrive menneskeklingende tekst maskerer dog en potentielt mørkere virkelighed.

I de forkerte hænder, den kraftfulde chatbot (nu også indbygget i Bing-søgemaskinen) og teknologier som den kunne misbruges af svindlere og dermed i sidste ende hjælpe med at "demokratisere" cyberkriminalitet til masserne. Ved at levere en ret billig, automatiseret måde at skabe massesvindelkampagner på, kan det være starten på en ny bølge af mere overbevisende phishing-angreb.

Hvordan cyberkriminelle kunne bevæbne ChatGPT

ChatGPT er baseret på OpenAIs GPT-3-familie af "store sprogmodeller." Som sådan er det blevet omhyggeligt trænet til at interagere med brugere i en samtaletone, hvilket imponerer mange med sine naturalistiske svar. Det er stadig tidlige dage for produktet, men nogle af de første tegn er bekymrende.

Mens OpenAI har indbygget autoværn i produktet for at forhindre dets brug til ondsindede formål, ser de ikke altid ud til at være effektive eller konsekvente. Blandt andet, det er blevet hævdet at en anmodning om at skrive en besked om økonomisk hjælp til at flygte fra Ukraine blev markeret som en fidus og afvist. Men en separat anmodning om at hjælpe med at skrive en falsk e-mail, der informerer en modtager om, at de havde vundet i lotteriet, fik grønt lys. Separate rapporter foreslår at kontroller designet til at forhindre brugere i visse regioner i at få adgang til værktøjets applikationsprogrammeringsgrænseflade (API) også er fejlet.

Indtast en prompt og voila! Kriminelle kunne også bede værktøjet om yderligere at finjustere denne slags (stadig for det meste kedelagtige) beskeder til deres hjerte og udnytte outputtet til angreb, både målrettede og vilkårlige.

Dette er dårlige nyheder for daglige internetbrugere; faktisk er cyberkriminelle allerede blevet set ved at udnytte ChatGPT til ondsindede formål ved flere lejligheder. Denne udvikling kan sætte muligheden for at iværksætte storstilede, overbevisende, fejlfrie og endda målrettede cyberangreb og svindel som f.eks. business email compromise (BEC) svindel i hænderne på langt flere mennesker end nogensinde før.

Faktisk de fleste (51 %) cybersikkerhedsledere forventer nu ChatGPT skal misbruges til et vellykket cyberangreb inden for et år.

En klar takeaway er, at vi alle skal blive bedre til at få øje på indikatoren tegn på online phishing-svindel og forberede dig på en potentiel stigning i ondsindede e-mails. Her er nogle ting, du skal være opmærksom på:

Tegn på, at du sandsynligvis læser en phishing-e-mail

1. Uopfordret kontakt

Phishing-beskeder vises normalt ud af det blå. Indrømmet, business marketing missiver kan også virke ret pludselige. Men når en uopfordret e-mail, der hævder at være fra en bank eller en anden organisation, dukker op i din indbakke, bør du automatisk være på høj vagt for potentielt mistænkelig aktivitet, dobbelt så hvis den indeholder et link eller en vedhæftet fil.

2. Links og vedhæftede filer

Som nævnt er en af ​​de klassiske metoder, som svindlere bruger til at nå deres mål, ved at indlejre ondsindede links eller vedhæfte ondsindede filer til deres e-mails. Disse kan hemmeligt installere malware på din enhed eller, i tilfælde af links, føre dig til en phishing-side, hvor de bliver bedt om at udfylde personlige oplysninger. Undgå at klikke på links, downloade filer eller åbne vedhæftede filer i beskeder, selvom de ser ud til at være fra en kendt, pålidelig kilde – medmindre du har bekræftet med afsenderen via andre kanaler, at beskeden er autentisk.

3. Anmodninger om personlige og økonomiske oplysninger

Hvad er slutmålet for et phishing-angreb? Nogle gange er det for at overtale modtageren til uforvarende at installere malware på deres maskine. Men i de fleste andre tilfælde er det for at narre dem til at udlevere personlige oplysninger. Dette sælges normalt på dark web-markedspladser og sættes derefter sammen for at forpligte sig identitetstyveri og svig. Det kan for eksempel være en anmodning om at optage en ny kreditgrænse i dit navn, eller betaling for en vare med dine kortoplysninger.

4. Pres taktik

I hjertet af phishing er en teknik kendt som social engineering, som i bund og grund er kunsten at få andre mennesker til at gøre, hvad du vil gennem overtalelse og udnyttelse af menneskelige fejl. At skabe en følelse af uopsættelighed er en klassisk social ingeniør-taktik – opnået ved at fortælle offeret, at de kun har en begrænset tid til at reagere, ellers vil de blive idømt en bøde eller gå glip af chancen for at vinde noget.

5. Noget 'gratis'

Hvis noget ser for godt ud til at være sandt, er det normalt. Men det forhindrer ikke folk i at falde for ikke-eksisterende freebies hele tiden. Et klassisk eksempel på dette er generøse 'gaver', der tilbydes folk til gengæld for deltage i undersøgelser, hvor de skal udlevere personlige og/eller økonomiske oplysninger. Det er overflødigt at sige, at offeret aldrig modtager deres iPhone, gavekort, penge eller nogen anden genstand, de er blevet lovet.

6. Uoverensstemmende afsendervisning og ægte domæne

Phishere vil ofte forsøge at få deres e-mailadresse til at se ud som om den kommer fra en legitim kilde, mens den faktisk ikke har gjort det. For eksempel, ved at holde markøren over afsenderdomænet kan du ofte se den rigtige e-mailadresse, der sendte det. Hvis de to ikke matcher, og/eller hvis den underliggende er en lang kombination af tilfældige tegn, er der en god chance for, at det er en fidus.

7. Ukendte eller generiske hilsner

Phishing-aktører forsøger at efterligne personer fra legitime organisationer i et forsøg på at skabe tillid til deres ofre. Men de kender måske ikke altid den rigtige tone, de skal bruge, når de sender e-mail. Hvis du er vant til at blive kaldt ved dit fornavn af et firma, men så ser en e-mail, som er mere formel, burde den ringe med alarmklokkerne og omvendt. Desuden vil ingen legitim bank eller anden organisation sende dig en e-mail fra en adresse, der ender på @gmail.com.

8. Udnyttelse af aktuelle begivenheder eller nødsituationer

En anden klassisk social engineering-teknik er at piggyback på populære nyhedsbegivenheder eller nødsituationer for at overtale modtagerne til at klikke videre. Dette er grunden til, at phishing-e-mails steg kraftigt under COVID-19, og også derfor kriminelle indsatte velgørenhedssvindel kort efter Rusland invaderede Ukraine. Vær altid skeptisk over for beskeder, der citerer aktuelle begivenheder.

9. Usædvanlige anmodninger

På samme måde skal du holde øje med e-mails, hvor afsenderen fremsætter usædvanlige anmodninger. Det kan for eksempel være din bank, der beder om at bekræfte personlige og økonomiske detaljer via e-mail eller sms, som en egentlig bank vil aldrig gøre. Any email that opens with “Dear customer” or “Dear ” should set your alarm bells ringing.

10. At bede om penge

Phishing handler om at høste personlige oplysninger og/eller installere malware. Men nogle svindelnumre er endnu mere direkte. Det siger sig selv, at du aldrig skal acceptere at udlevere penge til nogen, der sender dig en uopfordret besked, selvom det beskrives som et "gebyr" for at frigive en levering, eller en pengepræmie.

Grammatiske fejl kan være en saga blot, takket være værktøjer som ChatGPT. Men heldigvis er der mange andre advarselstegn, der advarer os om mulig svindel. Tag dig tid online, og tænk altid på, hvad der motiverede en person til at sende en bestemt besked.



• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.welivesecurity.com/2023/02/22/chatgpt-level-up-phishing-defenses/