Ekspertai įspėja apie naują grėsmę internete: nusikaltėliai naudoja „ChatGPT“ vardą

Skaitmeninių grėsmių aplinka sparčiai keičiasi: sukčiai vis dažniau pasitelkia dirbtinis intelektas paremtus įrankius, kad apeitų įprastas apsaugas ir atrodytų patikimi. Kibernetinio saugumo bendrovės pastaruoju metu fiksuoja atvejus, kai piktnaudžiaujama populiarių pokalbių robotų turinio dalijimosi funkcijomis.

Push Security tyrėjai šį metodą apibūdina kaip LLMShare: nusikaltėliai išnaudoja tai, kad tokios sritys kaip „chatgpt.com“ daugelyje organizacijų laikomos patikimomis. Dėl to nuorodos iš žinomų domenų neretai praslysta pro filtrus, kurie remiasi reputacijos vertinimu.

Ankstesniuose scenarijuose aukai būdavo pateikiama vieša nuoroda į tariamai oficialią instrukciją, o tuomet siūloma nukopijuoti ir komandinėje eilutėje įklijuoti komandą. Tokie veiksmai gali nepastebimai atsisiųsti ir paleisti duomenis vagiančias programas, ypač taikantis į slaptažodžius, naršyklių saugyklas ir kriptovaliutų pinigines.

Naujesnė atakos versija tampa dar pavojingesnė, nes mažina poreikį aukai ranka vykdyti komandas. Pasitelkiant programinio kodo generavimą, to paties patikimo domeno aplinkoje gali būti pademonstruojamas suklastotas puslapis, imituojantis sistemos sutrikimą ir raginantis atsisiųsti programą darbui tęsti.

Paspaudus atsisiuntimo mygtuką vartotojas paprastai nukreipiamas į išorinę svetainę, kuri vizualiai kopijuoja „OpenAI“ atsisiuntimo puslapį ir siūlo diegimo failus „Windows“ ar „macOS“ sistemoms. Diegikliai gali bandyti aptikti saugos programas, tikrinti, ar neveikia virtualioje aplinkoje, o galiausiai įdiegti vadinamąjį infostealer tipo kenkėją, skirtą duomenų vagystei.

Kad apgaulę būtų sunkiau nustatyti, naudojamas sąlyginis atvaizdavimas: saugumo skeneriams ar automatiniams tikrintuvams rodinys gali būti visai nepavojingas. Tuo tarpu realiam vartotojui pateikiamas kenkėjiškas turinys, todėl incidentą sunkiau atkartoti ir greitai užblokuoti.

Tokios nuorodos dažnai išplatinamos per paieškos sistemų reklamą ir SEO, kai sukčiai taikosi į populiarias užklausas bei dažnas rašybos klaidas. Dėl to paieškos rezultatuose matomas adresas gali atrodyti visiškai normalus, nors veda į kruopščiai suklastotą puslapį.

Ekspertai pabrėžia platesnę tendenciją: nusikaltėliai vis dažniau naudojasi teisėtomis platformomis ir globalių technologijų prekės ženklų infrastruktūra, kad jų veiksmai atrodytų patikimi. Tai apima ir el. pašto siuntimo paslaugų, ir teisėtų talpinimo sprendimų išnaudojimą, kai tradiciniai filtrai automatiškai suteikia pasitikėjimo kreditą.

Praktinė apsauga prasideda nuo elgsenos higienos: nepasitikėti instrukcijomis, raginančiomis vykdyti komandas terminale, net jei jos pateikiamos kaip pagalbos centro patarimai. Taip pat verta tikrinti tikrąjį atsisiuntimo adresą, diegti atnaujinimus, naudoti daugiafaktorį prisijungimą ir organizacijose taikyti saugumo priemones, kurios vertina ne tik domeno reputaciją, bet ir turinio bei elgsenos požymius.