Gian lậnGPT là gì?

ChatGPT đã thu hút sự chú ý của mọi người, thay đổi quy trình làm việc của họ và thay đổi cách họ nhận thông tin trực tuyến. Ngay cả những người chưa dùng thử cũng tò mò về cách các chatbot trí tuệ nhân tạo (AI) sẽ tác động đến tương lai.

Tội phạm mạng đã khám phá cách chúng có thể tận dụng hiện tượng này. FraudGPT là một ví dụ gần đây về điều đó.

Gian lậnGPT là gì?

FraudGPT là một sản phẩm được bán trên dark web và Telegram, hoạt động tương tự như ChatGPT nhưng tạo nội dung để tạo điều kiện cho các cuộc tấn công mạng. Các thành viên của nhóm nghiên cứu mối đe dọa tại Netenrich lần đầu tiên được xác định và thấy nó được quảng cáo vào tháng 7 năm 2023. Một điểm hấp dẫn chính là FraudGPT không có các biện pháp kiểm soát và giới hạn tích hợp ngăn ChatGPT thực hiện hoặc trả lời các yêu cầu không phù hợp.

Thông tin chi tiết khác cho biết công cụ này được cập nhật từ một đến hai tuần một lần và có các mô hình AI khác nhau. FraudGPT cũng có mô hình định giá dựa trên đăng ký. Mọi người có thể trả 200 đô la để sử dụng nó hàng tháng hoặc 1.700 đô la cho một năm.

FraudGPT hoạt động như thế nào và nó có thể làm gì?

Nhóm Netenrich đã mua và thử nghiệm FraudGPT. Giao diện trông tương tự như ChatGPT, với bản ghi các yêu cầu trước đây của người dùng ở thanh bên trái và cửa sổ trò chuyện chiếm phần lớn màn hình. Mọi người chỉ cần gõ vào cửa sổ Đặt câu hỏi và nhấn Enter để tạo câu trả lời.

Một trong những lời nhắc thử nghiệm đã yêu cầu công cụ tạo email lừa đảo liên quan đến ngân hàng. Người dùng chỉ cần định dạng câu hỏi của họ để bao gồm tên ngân hàng và FraudGPT sẽ làm phần còn lại. Nó thậm chí còn gợi ý mọi người nên chèn liên kết độc hại vào đâu trong nội dung. FraudGPT có thể tiến xa hơn bằng cách tạo các trang đích lừa đảo khuyến khích khách truy cập cung cấp thông tin.

Các lời nhắc khác yêu cầu FraudGPT liệt kê các trang web hoặc dịch vụ được nhắm mục tiêu hoặc sử dụng nhiều nhất. Thông tin đó có thể giúp tin tặc lên kế hoạch cho các cuộc tấn công trong tương lai. Một quảng cáo web tối cho sản phẩm đã đề cập rằng nó có thể tạo mã độc hại, xây dựng phần mềm độc hại không thể phát hiện, tìm lỗ hổng, xác định mục tiêu, v.v.

Nhóm Netenrich cũng xác định người bán của FraudGPT là người trước đây đã cung cấp dịch vụ cho thuê hacker. Ngoài ra, họ đã liên kết cùng một cá nhân với một công cụ tương tự có tên là WormGPT.

Các nhà nghiên cứu từ SlashNext cho biết các thuật toán của công cụ được đào tạo với số lượng lớn của dữ liệu phần mềm độc hại. Nhóm đó cho biết WormGPT có tiềm năng đặc biệt để tạo ra các thông báo thỏa hiệp email doanh nghiệp và lừa đảo thực tế.

Bằng chứng về những công cụ này chứng minh rằng tội phạm mạng tiếp tục phát triển để thực hiện các cuộc tấn công của chúng ngày càng thành công. Các chuyên gia và người đam mê công nghệ có thể làm gì để giữ an toàn?

Mẹo về An ninh mạng trong Thời đại Lừa đảoGPT và các Công cụ Tương tự

Cuộc điều tra về FraudGPT nhấn mạnh sự cần thiết phải luôn cảnh giác. Những công cụ này là mới, vì vậy còn quá sớm để nói khi nào tin tặc có thể sử dụng chúng để tạo ra các mối đe dọa chưa từng thấy — hoặc nếu chúng đã có. Tuy nhiên, FraudGPT và các sản phẩm khác được sử dụng cho mục đích xấu có thể giúp tin tặc tiết kiệm thời gian. Họ có thể viết email lừa đảo chỉ trong vài giây hoặc phát triển toàn bộ trang đích gần như nhanh chóng.

Điều đó có nghĩa là mọi người phải tiếp tục tuân theo các phương pháp hay nhất về an ninh mạng, bao gồm cả việc luôn nghi ngờ các yêu cầu cung cấp thông tin cá nhân. Những người đảm nhiệm vai trò an ninh mạng nên cập nhật các công cụ phát hiện mối đe dọa của họ và biết rằng những kẻ xấu có thể sử dụng các công cụ như FraudGPT để nhắm mục tiêu trực tiếp và xâm nhập vào cơ sở hạ tầng trực tuyến.

Tin tặc không phải là mối đe dọa duy nhất

Ngày càng có nhiều công nhân sử dụng ChatGPT trong công việc của họ, nhưng điều đó không nhất thiết tốt cho an ninh mạng. Nhân viên có thể vô tình xâm phạm thông tin bí mật của công ty bằng cách dán thông tin đó vào ChatGPT. Các công ty, bao gồm cả Apple và Samsung, đã đã hạn chế cách người lao động có thể sử dụng công cụ trong vai trò của họ.

Một nghiên cứu cho thấy 72% doanh nghiệp nhỏ đóng cửa bên trong hai năm mất dữ liệu. Nhiều người chỉ coi hoạt động tội phạm là nguyên nhân gây mất thông tin. Tuy nhiên, những cá nhân có tư duy tiến bộ cũng nhận ra rủi ro khi dán dữ liệu bí mật hoặc độc quyền vào ChatGPT.

Những nỗi sợ hãi đó không phải là không có cơ sở. Một lỗi ChatGPT vào tháng 3 năm 2023 đã làm rò rỉ chi tiết thanh toán của những người đã sử dụng công cụ này trong khoảng thời gian chín giờ và đăng ký phiên bản trả phí. Ngoài ra, các phiên bản tương lai của ChatGPT được đào tạo dựa trên thông tin do người dùng trước đó nhập. Thật dễ dàng để tưởng tượng các vấn đề nếu các chi tiết bí mật trở thành một phần của dữ liệu dạy các thuật toán hoạt động. Người dùng có thể từ chối sử dụng lời nhắc của họ để đào tạo, nhưng đó không phải là cài đặt mặc định.

Các vấn đề cũng có thể xảy ra nếu nhân viên cho rằng bất kỳ thông tin nào họ nhận được từ ChatGPT là chính xác. Những người sử dụng công cụ này cho các tác vụ lập trình và viết mã đã cảnh báo rằng nó cung cấp phản hồi không chính xác mà các chuyên gia ít kinh nghiệm có thể coi là thực tế.

Một bài báo nghiên cứu vào tháng 8 năm 2023 của Đại học Purdue đã xác nhận khẳng định đó bằng cách kiểm tra ChatGPT về các câu hỏi lập trình. Các kết luận đáng ngạc nhiên tìm thấy công cụ đưa ra câu trả lời sai trong 52% trường hợp và dài dòng 77% thời gian. Nếu ChatGPT cũng nhận được các lời nhắc liên quan đến an ninh mạng không chính xác, thì điều đó có thể đặt ra thách thức cho các nhóm CNTT đang cố gắng hướng dẫn nhân viên cách ngăn chặn các cuộc tấn công.

ChatGPT có thể trở thành sân chơi cho tin tặc

Một điều quan trọng cần nhận ra là tin tặc vẫn có thể gây ra thiệt hại phi thường mà không phải trả tiền cho các sản phẩm như FraudGPT. Các nhà nghiên cứu an ninh mạng đã chỉ ra rằng phiên bản miễn phí của ChatGPT cho phép họ thực hiện nhiều điều tương tự. Các biện pháp bảo vệ tích hợp sẵn của công cụ đó có thể khiến bạn khó đạt được kết quả mong muốn ngay lập tức. Tuy nhiên, bọn tội phạm biết cách sáng tạo, có thể bao gồm thao túng ChatGPT để làm cho nó hoạt động theo cách chúng muốn.

AI cuối cùng có thể mở rộng phạm vi tiếp cận của tội phạm mạng và giúp đỡ chúng phối hợp các cuộc tấn công nhanh hơn. Ngược lại, nhiều chuyên gia an ninh mạng sử dụng AI để nâng cao nhận thức về mối đe dọa và tăng tốc độ khắc phục. Vì vậy, mọi người có thể phụ thuộc vào công nghệ để tăng cường và làm xói mòn các biện pháp bảo vệ. Không có gì ngạc nhiên khi một cuộc khảo sát tháng 6 năm 2023 cho thấy 81% số người được hỏi có sự an toàn và những lo ngại về bảo mật về ChatGPT.

Một khả năng khác là mọi người có thể tải xuống thứ mà họ tin là ứng dụng ChatGPT chính hãng và thay vào đó nhận phần mềm độc hại. Nó không mất nhiều thời gian cho nhiều ứng dụng giống như công cụ để xuất hiện trong các cửa hàng ứng dụng. Một số chỉ hoạt động tương tự và dường như không cố ý lừa người dùng. Tuy nhiên, những người khác có những cái tên nghe giống nhau — chẳng hạn như “Chat GBT” — có thể dễ dàng đánh lừa những cá nhân cả tin.

Tin tặc thường nhúng phần mềm độc hại vào các ứng dụng có vẻ hợp pháp. Mọi người cũng nên mong đợi họ tận dụng sự phổ biến của ChatGPT theo cách đó.

Các công nghệ mới nổi yêu cầu các phương pháp an ninh mạng mới

Nghiên cứu về FraudGPT là một lời nhắc nhở đáng nhớ về cách tội phạm mạng sẽ tiếp tục thay đổi các kỹ thuật của chúng để đạt được tác động tối đa. Tuy nhiên, các công cụ có sẵn miễn phí cũng gây ra rủi ro về an ninh mạng. Bất kỳ ai sử dụng internet hoặc làm việc để bảo mật cơ sở hạ tầng trực tuyến đều phải theo kịp các công nghệ mới hơn và rủi ro của chúng. Điều quan trọng là sử dụng các công cụ như ChatGPT một cách có trách nhiệm trong khi vẫn nhận thức được tác hại tiềm ẩn.