Escribir como un jefe con ChatGPT y cómo mejorar para detectar estafas de phishing

ChatGPT ha estado arrasando en el mundo, habiendo llegó a 100 millones de usuarios sólo dos meses después del lanzamiento. Sin embargo, las historias de los medios sobre la asombrosa capacidad de la herramienta para escribir texto con apariencia humana enmascaran una realidad potencialmente más oscura.

En las manos equivocadas, el poderoso chatbot (ahora también integrado en el motor de búsqueda de Bing) y tecnologías como esta podrían ser mal utilizadas por los estafadores y, en última instancia, ayudar a "democratizar" el delito cibernético para las masas. Al ofrecer una forma automatizada y de bajo costo para crear campañas de estafas masivas, podría ser el comienzo de una nueva ola de ataques de phishing más convincentes.

Cómo los ciberdelincuentes podrían armar ChatGPT

ChatGPT se basa en la familia GPT-3 de OpenAI de "modelos de lenguaje grande". Como tal, ha sido minuciosamente entrenado para interactuar con los usuarios en un tono conversacional, sorprendiendo a muchos con sus respuestas naturalistas. Todavía es pronto para el producto, pero algunos de los signos iniciales son preocupantes.

Si bien OpenAI ha incorporado medidas de seguridad en el producto para evitar su uso con fines nefastos, no siempre parecen ser efectivas o consistentes. Entre otras cosas, ha sido reclamado que una solicitud para escribir un mensaje pidiendo ayuda financiera para huir de Ucrania fue marcada como una estafa y denegada. Pero una solicitud separada para ayudar a escribir un correo electrónico falso informando a un destinatario que había ganado la lotería recibió luz verde. Informes separados sugieren que los controles diseñados para evitar que los usuarios de ciertas regiones accedan a la interfaz de programación de aplicaciones (API) de la herramienta también han fallado.

¡Escriba un aviso y listo! Los delincuentes también podrían pedirle a la herramienta que modifique aún más este tipo de mensajes (aún en su mayoría repetitivos) al contenido de su corazón y aproveche la salida para ataques, tanto dirigidos como indiscriminados.

Estas son malas noticias para los usuarios de Internet cotidianos; de hecho, ya se ha visto a los ciberdelincuentes aprovechando ChatGPT con fines maliciosos en múltiples ocasiones. Estos desarrollos podrían aumentar la capacidad de lanzar ataques cibernéticos y estafas a gran escala, persuasivos, sin errores e incluso dirigidos, como Fraude de compromiso de correo electrónico comercial (BEC) en manos de mucha más gente que nunca.

De hecho, la mayoría (51%) Los líderes de ciberseguridad ahora esperan ChatGPT para ser abusado por un ciberataque exitoso dentro de un año.

Una conclusión clara es que todos debemos mejorar en la detección del indicador signos de estafas de phishing en línea y prepárese para un aumento potencial de correos electrónicos maliciosos. Aquí hay algunas cosas a tener en cuenta:

Señales de que probablemente estás leyendo un correo electrónico de phishing

1. Contacto no solicitado

Los mensajes de phishing suelen aparecer de la nada. Por supuesto, las misivas de marketing empresarial también pueden parecer bastante repentinas. Pero cuando un correo electrónico no solicitado que dice ser de un banco o de cualquier otra organización aparece en su bandeja de entrada, debe estar automáticamente en alerta máxima por actividad potencialmente sospechosa, doblemente si contiene un enlace o un archivo adjunto.

2. Enlaces y archivos adjuntos

Como se mencionó, uno de los métodos clásicos utilizados por los estafadores para lograr sus fines es incrustar enlaces maliciosos o adjuntar archivos maliciosos a sus correos electrónicos. Estos podrían secretamente instalar malware en su dispositivo o, en el caso de los enlaces, llevarlo a una página de phishing donde se les pedirá que completen información personal. Evite hacer clic en enlaces, descargar archivos o abrir archivos adjuntos en mensajes, incluso si parecen provenir de una fuente conocida y confiable, a menos que haya verificado con el remitente a través de otros canales que el mensaje es auténtico.

3. Solicitudes de información personal y financiera

¿Cuál es el objetivo final de un ataque de phishing? A veces es para persuadir al destinatario de que, sin saberlo, instale malware en su máquina. Pero en la mayoría de los demás casos es para engañarlos para que entreguen información personal. Esto generalmente se vende en los mercados de la web oscura y luego se ensambla para comprometerse robo de identidad y fraude. Puede ser una solicitud para contratar una nueva línea de crédito a tu nombre, o el pago de un artículo con los datos de tu tarjeta, por ejemplo.

4. Tácticas de presión

En el corazón del phishing se encuentra una técnica conocida como ingeniería social, que es esencialmente el arte de hacer que otras personas hagan lo que tú quieres a través de persuasión y explotación del error humano. Crear un sentido de urgencia es una táctica clásica de ingeniería social: se logra diciéndole a la víctima que solo tiene un tiempo limitado para responder o de lo contrario será multada o perderá la oportunidad de ganar algo.

5. Algo 'gratis'

Si algo parece demasiado bueno para ser verdad, normalmente lo es. Sin embargo, eso no impide que la gente se enamore de regalos inexistentes todo el tiempo. Un ejemplo clásico de esto son los 'regalos' generosos que se ofrecen a las personas a cambio de participando en encuestas, en el que tienen que entregar información personal y/o financiera. No hace falta decir que la víctima nunca recibe su iPhone, tarjeta de regalo, dinero o cualquier otro artículo que le prometieron.

6. Pantalla de remitente no coincidente y dominio real

Los phishers a menudo intentarán hacer que su dirección de correo electrónico parezca que proviene de una fuente legítima, cuando en realidad no es así. Por ejemplo, al pasar el cursor sobre el dominio del remitente, a menudo puede ver la dirección de correo electrónico real que lo envió. Si los dos no coinciden y/o si el subyacente es una combinación larga de caracteres aleatorios, es muy probable que sea una estafa.

7. Saludos desconocidos o genéricos

Los actores de phishing intentan hacerse pasar por personas de organizaciones legítimas en un intento por generar confianza con sus víctimas. Pero es posible que no siempre sepan el tono correcto para usar cuando envían un correo electrónico. Si está acostumbrado a que una empresa lo llame por su nombre de pila, pero luego ve un correo electrónico que es más formal, debería sonar las alarmas, y viceversa. Además, ningún banco legítimo u otra organización le enviará un correo electrónico desde una dirección que termine en @gmail.com.

8. Explotación de eventos o emergencias actuales

Otra técnica clásica de ingeniería social es aprovechar las noticias populares o las emergencias para persuadir a los destinatarios de que hagan clic. Esta es la razón por la cual los correos electrónicos de phishing se dispararon durante COVID-19 y también por qué los delincuentes implementaron estafas de caridad poco después de que Rusia invadiera Ucrania. Sea siempre escéptico con los mensajes que citan eventos actuales.

9. Solicitudes inusuales

Del mismo modo, esté atento a los correos electrónicos en los que el remitente hace solicitudes inusuales. Puede ser, por ejemplo, que su banco solicite confirmar detalles personales y financieros por correo electrónico o mensaje de texto, lo que un banco real nunca lo hará. Cualquier correo electrónico que se abra con "Estimado cliente" o "Estimado" debería hacer sonar las alarmas.

10. Pedir dinero

El phishing consiste en recolectar información personal y/o instalar malware. Pero algunas estafas son aún más directas. No hace falta decir que nunca debe aceptar entregar dinero a alguien que le envía un mensaje no solicitado, incluso si se describe como una "tarifa" para liberar una entrega o un premio en efectivo.

Los errores gramaticales pueden ser cosa del pasado gracias a herramientas como ChatGPT. Pero, afortunadamente, existen muchas otras señales de advertencia que nos alertan sobre posibles estafas. Tómese su tiempo en línea y siempre piense en lo que motivó a una persona a enviar un mensaje en particular.



• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://www.welivesecurity.com/2023/02/22/chatgpt-level-up-phishing-defenses/