Populárne online platformy sa zväčša tešia širokej, resp. rôznorodej používateľskej základni. Žiaľ, táto základňa často zahŕňa aj ľudí s nie až tak dobrými úmyslami. Výnimkou nie je ani služba ChatGPT, ktorá sa teraz stáva cieľom veľkého škandálu. Generatívnej AI totiž unikli prihlasovacie údaje tisícov používateľov. Tieto informácie sa aj v týchto chvíľach majú obchodovať v temných zákutiach internetu. O novinke informuje Bleeping Computer.
Tieto údaje môžu záškodníkom poslúžiť v mnohých účeloch. Využité môžu byť napríklad na vytváranie presvedčivejších phishingových útokov, ktoré tak majú vyššiu šancu na úspech.
Spoločnosť Flare, ktorá sa okrem iného zaoberá aj kybernetickými hrozbami, tvrdí, že v priebehu posledných šiestich mesiacov padla na dark webe a v prostredí aplikácie Telegram zmienka o ChatGPT viac ako 27 000-krát. To znamená, že záujem kyberzločincov o používateľov platformy je značný.
Dokazujú to aj dáta bezpečnostnej spoločnosti Group-IB, podľa ktorej sa na nelegálnych trhoviskách obchoduje s vysokým počtom logov z malvéru slúžiaceho na kradnutie citlivých informácií. Tieto logy majú obsahovať viac ako 100 000 účtov, resp. prihlasovacích údajov k ChatGPT.
ChatGPT má nebezpečného dvojníka
Záujem zločincov mal prerásť dokonca do takej miery, že vytvorili kópiu ChatGPT s názvom WomGPT, ktorej účelom je šíriť malvér. Tento nástroj je na kyberkriminálnych fórach inzerovaný ako „najlepšia alternatíva pre blackchat, ktorá umožňuje vykonávanie všetkých druhov nelegálnych činností“.
WormGPT pracuje na open-source verzii modelu GPT-J, ktorý bol vyvinutý v roku 2021. Text, ktorý generuje, sa formuláciou a obsahom podobá na text produkovaný skutočným človekom. To z neho robí nástroj predstavujúci veľké bezpečnostné riziko.
SlashNext, poskytovateľovi zabezpečenia pre elektronickú poštu, sa podarilo WormGPT otestovať. Vykonaných bolo niekoľko experimentov, ktorých cieľom bolo určiť rozsah nebezpečenstva, ktoré softvér predstavuje.
„V jednom experimente sme WormGPT dali pokyn na vytvorenie e-mailu, ktorého cieľom bolo vyvinúť nátlak na nič netušiaceho správcu účtu, aby zaplatil podvodnú faktúru. Výsledky boli znepokojujúce. WormGPT vytvoril e-mail, ktorý bol nielen pozoruhodne presvedčivý, ale aj strategicky prefíkaný, čo ukázalo jeho potenciál pre sofistikované phishingové útoky,“ uvádza tím zo SlashNext.
Kľúčová je opatrnosť a edukácia
Obrana proti tejto novej „iniciatíve“ kybernetických zločincov môže byť náročná, no nie je nemožná. Podľa SlashNext je kľúčom k úspechu dostatočná edukácia. V opačnom prípade vzniká riziko, že ľudia ľahko naletia na pshishingové podvody, kvôli ktorým môžu prísť nielen o citlivé informácie, ale aj o peniaze.
