Пишите как босс с ChatGPT и как лучше выявлять фишинговые схемы

ChatGPT покорил мир, получив достигла 100 миллионов пользователей всего через два месяца после запуска. Однако сообщения СМИ о сверхъестественной способности инструмента писать текст, звучащий как человеческий, маскируют потенциально более мрачную реальность.

В чужих руках мощный чат-бот (теперь также встроенный в поисковую систему Bing) и подобные технологии могут быть использованы мошенниками не по назначению, что в конечном итоге поможет «демократизировать» киберпреступность в массы. Предоставив довольно недорогой автоматизированный способ создания массовых мошеннических кампаний, он может стать началом новой волны более убедительные фишинговые атаки.

Как киберпреступники могут использовать ChatGPT в качестве оружия

ChatGPT основан на семействе «больших языковых моделей» OpenAI GPT-3. Таким образом, он был тщательно обучен взаимодействовать с пользователями в разговорном тоне, поражая многих своими естественными ответами. Для продукта пока рано, но некоторые первые признаки вызывают беспокойство.

Хотя OpenAI встроил в продукт ограждения, чтобы предотвратить его использование в гнусных целях, они не всегда кажутся эффективными или последовательными. Среди прочего, это было заявлено что просьба написать сообщение с просьбой о финансовой помощи для бегства из Украины была помечена как мошенничество и отклонена. Но отдельный запрос помочь написать поддельное электронное письмо, информирующее получателя о том, что он выиграл в лотерею, получил зеленый свет. Отдельные отчеты предлагают что элементы управления, предназначенные для предотвращения доступа пользователей в определенных регионах к интерфейсу прикладного программирования (API), также не сработали.

Введите подсказку и вуаля! Преступники также могут попросить инструмент дополнительно настроить эти типы (все еще в основном шаблонные) сообщения по своему усмотрению и использовать вывод для атак, как целевых, так и неизбирательных.

Это плохая новость для обычных пользователей Интернета; действительно, киберпреступники уже несколько раз были замечены в использовании ChatGPT в злонамеренных целях. Эти разработки могут дать возможность запускать крупномасштабные, убедительные, безошибочные и даже целенаправленные кибератаки и мошенничества, такие как компрометация деловой электронной почты (BEC) мошенничество в руки гораздо большего числа людей, чем когда-либо прежде.

Действительно, большинство (51%) лидеры кибербезопасности теперь ожидают ChatGPT будет использован для успешной кибератаки в течение года.

Один из очевидных выводов заключается в том, что нам всем нужно научиться лучше замечать контрольные признаки интернет-фишинга и подготовьтесь к потенциальному всплеску вредоносных писем. Вот некоторые вещи, на которые следует обратить внимание:

Признаки того, что вы, вероятно, читаете фишинговое письмо

1. Нежелательный контакт

Фишинговые сообщения обычно появляются совершенно неожиданно. Конечно, деловые маркетинговые послания также могут показаться довольно внезапными. Но когда нежелательное электронное письмо, якобы отправленное банком или любой другой организацией, появляется в вашем почтовом ящике, вы должны автоматически быть в состоянии повышенной готовности к потенциально подозрительным действиям, вдвойне, если оно содержит ссылку или вложение.

2. Ссылки и вложения

Как уже упоминалось, один из классических методов, используемых мошенниками для достижения своих целей, — это встраивание вредоносных ссылок или прикрепление вредоносных файлов к своим электронным письмам. Они могут тайно установить вредоносное ПО на ваше устройство или, в случае ссылок, направить вас на фишинговую страницу, где их попросят ввести личную информацию. Не переходите по ссылкам, не загружайте файлы и не открывайте вложения в сообщениях, даже если они кажутся полученными из известного и надежного источника, если только вы не подтвердили подлинность сообщения с отправителем по другим каналам.

3. Запросы личной и финансовой информации

Какова конечная цель фишинговой атаки? Иногда это делается для того, чтобы убедить получателя невольно установить вредоносное ПО на свой компьютер. Но в большинстве других случаев это делается для того, чтобы обманом заставить их передать личную информацию. Обычно это продается на торговых площадках даркнета, а затем собирается вместе, чтобы зафиксировать кража личных данных и мошенничество. Например, это может быть запрос на получение новой кредитной линии на ваше имя или оплата товара с использованием данных вашей карты.

4. Тактика давления

В основе фишинга лежит метод, известный как социальная инженерия, который, по сути, представляет собой искусство заставить других людей делать то, что вы хотите, с помощью убеждение и использование человеческой ошибки. Создание чувства безотлагательности — это классическая тактика социальной инженерии, достигаемая путем сообщения жертве, что у нее есть только ограниченное время для ответа, иначе она будет оштрафована или упустит шанс что-то выиграть.

5. Что-то «бесплатное»

Если что-то выглядит слишком хорошо, чтобы быть правдой, обычно так оно и есть. Тем не менее, это не останавливает людей, которые постоянно влюбляются в несуществующие халявы. Классическим примером этого являются щедрые «подарки», предлагаемые людям в обмен на участие в опросах, в котором они должны передать личную и/или финансовую информацию. Излишне говорить, что жертва никогда не получает свой iPhone, подарочную карту, деньги или любой другой предмет, который ей обещали.

6. Несоответствие отображения отправителя и реального домена

Фишеры часто пытаются сделать так, чтобы их адреса электронной почты выглядели так, как будто они получены из законного источника, хотя на самом деле это не так. Например, наведя курсор на домен отправителя, вы часто можете увидеть реальный адрес электронной почты, с которого оно было отправлено. Если они не совпадают и/или основной является длинной комбинацией случайных символов, велика вероятность, что это мошенничество.

7. Незнакомые или общие приветствия

Субъекты фишинга пытаются выдать себя за представителей законных организаций, чтобы завоевать доверие своих жертв. Но они не всегда могут знать правильный тон при письме. Если вы привыкли, что компания называет вас по имени, а затем видите письмо, которое носит более формальный характер, это должно насторожить, и наоборот. Кроме того, ни один законный банк или другая организация не отправит вам электронное письмо с адреса, оканчивающегося на @gmail.com.

8. Использование текущих событий или чрезвычайных ситуаций

Еще одна классическая техника социальной инженерии — использовать популярные новостные события или чрезвычайные ситуации, чтобы убедить получателей перейти по ссылке. Вот почему количество фишинговых писем выросло во время COVID-19, а также почему преступники развернули благотворительные аферы вскоре после того, как Россия вторглась в Украину. Всегда скептически относитесь к сообщениям, в которых упоминаются текущие события.

9. Необычные запросы

Точно так же следите за электронными письмами, в которых отправитель делает необычные запросы. Это может быть, например, ваш банк, который просит подтвердить личные и финансовые данные по электронной почте или в текстовом сообщении, что реальный банк никогда не будет делать. Любое электронное письмо, которое начинается со слов «Уважаемый клиент» или «Уважаемый», должно вызвать у вас тревогу.

10. Просить денег

Фишинг — это сбор личной информации и/или установка вредоносных программ. Но некоторые мошенничества еще более прямые. Само собой разумеется, что вы никогда не должны соглашаться передавать деньги тому, кто отправляет вам нежелательное сообщение, даже если оно описывается как «плата» за доставку или денежный приз.

Грамматические ошибки могут уйти в прошлое благодаря таким инструментам, как ChatGPT. Но, к счастью, есть много других предупреждающих знаков, которые предупреждают нас о возможном мошенничестве. Не торопитесь в Интернете и всегда думайте о том, что побудило человека отправить конкретное сообщение.



• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.welivesecurity.com/2023/02/22/chatgpt-level-up-phishing-defenses/