- Gdy poprosimy go o napisanie e-maila, w którym skłoni on odbiorcę do kliknięcia w link, Chatbot nie ma z tym problemu – ostrzega ekspert w dziedzinie bezpieczeństwa informatycznego Rafał Wolert.
Choć ChatGPT firmy OpenAI działa zaledwie dwa tygodnie, niektórzy komentatorzy już wieszczą, że to początek końca dla wyszukiwarki Google. Inni prześcigają się w wyliczaniu, jakie zawody znikną przez niego z rynku. Tymczasem nawet jego założyciel przekonuje, by nie używać aplikacji do „poważnych spraw”, a zespoły analizowania zagrożeń w sieci już przygotowują się na to, że będzie ona narzędziem dla cyberprzestępców. O tym, do czego można użyć Chatbota, rozmawiamy z Rafałem Wolertem, ekspertem jednostki reagowania na incydenty bezpieczeństwa teleinformatycznego (CERT) Orange Polska
Wystarczyło kilka dni, by ChatGPT przekroczył milion użytkowników. Jakie zagrożenia CERT Orange widzi w rozwoju takich modeli językowych?
Głównym zastosowaniem tego typu programów jest możliwość prowadzenia rozmowy podobnej jak między ludźmi w formie chatu. Widzimy pięć podstawowych zagrożeń związanych z tą technologią. Po pierwsze - można przy jej użyciu tworzyć i propagować treści obraźliwe, powielać uprzedzenia oraz stereotypy. Po drugie - można szerzyć dezinformację na masową skalę. Po trzecie - tworzyć treści phishingów używane w e-mailach lub stronach internetowych, w tym treści spersonalizowane pod konkretny cel. Po czwarte - ChatGPT może asystować w tworzeniu złośliwego oprogramowania/kodu używanego do ataków. Oraz ostatnie zagrożenie - wyciek wrażliwych informacji podawanych przez użytkowników lub z danych użytych do treningu.
Jakie możliwości zyskują internetowi oszuści przy użyciu takich narzędzi?
ChatGPT jest w fazie badań i każdy może z niego skorzystać za darmo. Jeśli oszust ma wiedzę techniczną, to w prosty sposób może zdefiniować zadania do wykonania dla ChatGPT, np. napisanie szablonu do e-maila phishingowego ze szkodliwym załącznikiem (m.in. szkodliwe makro w Excelu), napisanie „kawałka” kodu odpowiedzialnego za wykonanie określonych czynności po stronie ofiary czy pomoc w stworzeniu narzędzi dla atakującego.
Treści i ich szablony oraz pojedyncze kawałki kodu mogą posłużyć jako źródło do innych narzędzi wykorzystywanych przez oszustów.
Jak technicznie mogą wyglądać oszustwa przy udziale takiej technologii?
Przykładowo, prosząc ChatGPT o e-maila phishingowego, rozwiązanie udziela odpowiedzi, że nie może tego wykonać ze względu na zasady działania, a nasze zapytanie jest flagowane jako niezgodne z polityką treści. Jednak gdy poprosimy go o napisanie e-maila, w którym skłoni on odbiorcę do kliknięcia w link, Chatbot nie ma z tym problemu. Może również zostawić unikalne pole do uzupełniania, np. na link, dzięki czemu atakujący może, używając prostych skryptów, podmienić takie pole. Na podstawie podanej nazwy domeny jest w stanie podać kombinację podobnych nazw domen.
Można go poprosić o modyfikację poprzednio otrzymywanej treści, tworząc e-maila, który jest spersonalizowany pod dany cel lub jest szablonem służącym jako treść wejściowa do innego skryptu posiadanego przez atakującego. Można również, korzystając z możliwości modelu językowego, podawać zapytania/chatować w jednym języku i prosić o odpowiedzi w innym języku niż zapytanie/wiadomość chatu. To również może ułatwiać sprawę przestępcom, którzy porozumiewają się w innym języku niż atakowana grupa.
Technicznie oszustwa przy udziale takiej technologii mogłyby też polegać na zebraniu sporej liczby szablonów i wykorzystanie ich w późniejszych kampaniach w różnych środkach przekazu, takich jak: reklamy na Facebooku, e-maile, SMS-y.
ChatGPT może asystować przy tworzeniu oprogramowania, także złośliwego. Jest w stanie napisać oprogramowanie w dowolnym języku z możliwością poprawiania w nim drobnych błędów. Internetowy oszust może otrzymać „kawałki” kodu, które mogą posłużyć mu do jego własnych narzędzi i automatyzacji zadań.
Czy widzieliście już państwo próby takich oszustw?
Nie widzieliśmy. Na razie oszuści mają do dyspozycji proste, ale skuteczne metody, np. generatory nazw domen czy automatyzację tłumaczenia e-maili i takich rozwiązań się trzymają. Stopniowo będą jednak adaptować się do zmieniających się metod ochrony. ©℗
Rozmawiała Anna Wittenberg
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu