Пишіть як бос із ChatGPT і як краще виявляти фішингові шахрайства

ChatGPT захопив світ штурмом, маючи досягла 100 мільйонів користувачів лише через два місяці після запуску. Однак історії ЗМІ про неймовірну здатність інструменту писати текст, що звучить як людина, маскують потенційно темнішу реальність.

У чужих руках потужний чат-бот (тепер також вбудований у пошукову систему Bing) і подібні технології можуть бути зловживані шахраями, що зрештою допоможе «демократизувати» кіберзлочинність у масах. Забезпечуючи досить недорогий автоматизований спосіб створення масових кампаній шахрайства, це може стати початком нової хвилі більш переконливі фішингові атаки.

Як кіберзлочинці можуть використовувати ChatGPT як зброю

ChatGPT базується на сімействі «великих мовних моделей» GPT-3 OpenAI. Таким чином, він був ретельно навчений спілкуватися з користувачами в розмовному тоні, вражаючи багатьох своїми натуралістичними відповідями. Для продукту ще рано, але деякі початкові ознаки викликають занепокоєння.

Незважаючи на те, що OpenAI вбудовано в продукт огорожі, щоб запобігти його використанню з негідною метою, вони не завжди видаються ефективними чи послідовними. Між іншим, це було заявлено що прохання написати повідомлення з проханням фінансової допомоги для втечі з України було позначено як шахрайство та відхилено. Але окремий запит допомогти написати фальшивий електронний лист із повідомленням одержувача про виграш у лотерею отримав зелене світло. Про це говорять окремі звіти що елементи керування, призначені для запобігання користувачам у певних регіонах доступу до інтерфейсу прикладного програмування (API) інструменту, також вийшли з ладу.

Введіть підказку і вуаля! Злочинці також можуть попросити цей інструмент додатково налаштувати такі типи (все ще здебільшого шаблонних) повідомлень до душі та використовувати результати для атак, як цілеспрямованих, так і невибіркових.

Це погана новина для звичайних користувачів Інтернету; справді, кіберзлочинці вже неодноразово помічали використання ChatGPT для зловмисних цілей. Ці розробки можуть надати можливість запускати широкомасштабні, переконливі, безпомилкові та навіть цілеспрямовані кібератаки та шахрайства, такі як шахрайство з компрометацією бізнес-електронної пошти (BEC). в руки набагато більшої кількості людей, ніж будь-коли раніше.

Дійсно, більшість (51%) очікують лідери кібербезпеки ChatGPT буде використано для успішної кібератаки протягом року.

Один очевидний висновок полягає в тому, що ми всі повинні краще розпізнавати сигнал ознаки онлайн-фішингу і підготуйтеся до потенційного сплеску шкідливих електронних листів. Ось на що варто звернути увагу:

Ознаки того, що ви, ймовірно, читаєте фішинговий електронний лист

1. Небажаний контакт

Зазвичай фішингові повідомлення з’являються раптово. Звичайно, бізнес-маркетингові повідомлення також можуть здаватися досить раптовими. Але коли небажаний електронний лист, який нібито надійшов від банку чи будь-якої іншої організації, з’являється у вашій скриньці вхідних повідомлень, ви повинні автоматично бути напоготові щодо потенційно підозрілої активності, подвійно, якщо воно містить посилання чи вкладення.

2. Посилання та вкладення

Як уже згадувалося, одним із класичних методів, який використовують шахраї для досягнення своїх цілей, є вбудовування шкідливих посилань або прикріплення шкідливих файлів до своїх електронних листів. Це може бути приховано встановити зловмисне програмне забезпечення на свій пристрій або, у випадку з посиланнями, перекинуть вас на фішингову сторінку, де їх попросять заповнити особисту інформацію. Уникайте натискання посилань, завантаження файлів або відкриття вкладених файлів у повідомленнях, навіть якщо вони начебто надійшли з відомого надійного джерела, якщо ви не підтвердили у відправника через інші канали, що повідомлення автентичне.

3. Запити щодо особистої та фінансової інформації

Яка кінцева мета фішингової атаки? Іноді це потрібно, щоб переконати одержувача мимоволі встановити зловмисне програмне забезпечення на свій комп’ютер. Але в більшості інших випадків це потрібно, щоб обманом змусити їх передати особисту інформацію. Зазвичай це продається на темних веб-ринках, а потім збирається разом, щоб здійснити зобов’язання крадіжка особистих даних і шахрайство. Це може бути запит на отримання нової кредитної лінії на ваше ім’я або оплата товару за допомогою даних вашої картки, наприклад.

4. Тактика тиску

В основі фішингу лежить техніка, відома як соціальна інженерія, яка, по суті, є мистецтвом змушувати інших людей робити те, що ви хочете, за допомогою переконання та використання людської помилки. Створення відчуття терміновості — це класична тактика соціальної інженерії, яка досягається шляхом повідомлення жертві, що вона має лише обмежений час для відповіді, інакше її оштрафують або втратять шанс щось виграти.

5. Щось «безкоштовне»

Якщо щось виглядає занадто добре, щоб бути правдою, зазвичай це так і є. Але це не заважає людям постійно впадати в неіснуючу безкоштовну продукцію. Класичним прикладом цього є щедрі «подарунки», пропоновані людям натомість участь в опитуваннях, в якому вони повинні передати особисту та/або фінансову інформацію. Зайве говорити, що жертва ніколи не отримує свій iPhone, подарункову картку, гроші чи будь-який інший предмет, який їй обіцяли.

6. Відображення відправника не збігається з реальним доменом

Фішери часто намагаються зробити свою адресу електронної пошти так, ніби вона надійшла з законного джерела, хоча насправді це не так. Наприклад, навівши курсор на домен відправника, ви часто можете побачити справжню адресу електронної пошти, з якої його надіслано. Якщо вони не збігаються та/або якщо в основі лежить довга комбінація випадкових символів, є велика ймовірність, що це шахрайство.

7. Незнайомі або типові привітання

Фішингові особи намагаються видати себе за осіб із законних організацій, намагаючись створити довіру своїх жертв. Але вони не завжди можуть знати правильний тон під час листування. Якщо ви звикли до того, що компанія називає вас на ім’я, але потім бачите електронний лист, який є більш офіційним, це повинно викликати тривогу, і навпаки. Крім того, жоден законний банк чи інша організація не надішле вам електронний лист із адреси, яка закінчується на @gmail.com.

8. Використання поточних подій або надзвичайних ситуацій

Ще одна класична техніка соціальної інженерії полягає в тому, щоб спонукати одержувачів переглянути популярні новинні події чи надзвичайні ситуації. Ось чому під час COVID-19 зросла кількість фішингових електронних листів, а також чому злочинці розгорнули благодійні афери незабаром після нападу Росії на Україну. Завжди скептично ставтеся до повідомлень, які цитують поточні події.

9. Незвичайні запити

Так само зверніть увагу на електронні листи, у яких відправник робить незвичні запити. Наприклад, ваш банк може попросити підтвердити особисті та фінансові дані електронною поштою чи текстовим повідомленням справжній банк ніколи не підійде. Будь-який електронний лист, який відкривається словами «Шановний клієнте» або «Шановний», має викликати тривогу.

10. Просити гроші

Фішинг — це збирання особистої інформації та/або встановлення зловмисного програмного забезпечення. Але деякі шахрайства є ще більш прямими. Само собою зрозуміло, що ви ніколи не повинні погоджуватися передавати гроші тому, хто надсилає вам небажане повідомлення, навіть якщо це описується як «плата» за доставку або грошовий приз.

Завдяки таким інструментам, як ChatGPT, граматичні помилки можуть залишитися в минулому. Але, на щастя, є багато інших попереджувальних знаків, які попереджають нас про можливі шахрайства. Не поспішайте в Інтернеті та завжди думайте про те, що спонукало людину надіслати певне повідомлення.



• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.welivesecurity.com/2023/02/22/chatgpt-level-up-phishing-defenses/