Nu a fost niciodată mai ușor pentru infractorii cibernetici să elaboreze un mesaj puternic cu ajutorul căruia să poată convinge oamenii să le ofere recompense financiare sau date personale.

ChatGPT a luat lumea cu asalt, ajungând la 100 de milioane de utilizatori în doar două luni de la lansare. Cu toate acestea, relatările din media despre capacitatea neobișnuită a acestei aplicații de a concepe texte ce par foarte asemănătoare cu cele scrise de o persoană reală poate masca o realitate îngrijorătoare.

În mâinile greșite, puternicul chatbot (integrat acum și în motorul de căutare Bing) și tehnologiile AI similare ar putea fi utilizate în scopuri ilicite de către escroci și astfel, în cele din urmă, pot face incidentele de criminalitate cibernetică mai accesibile. Oferind o modalitate automată și destul de ieftină de a crea campanii de phishing în masă, folosirea inteligenței artificiale ar putea fi începutul unui nou val de atacuri de phishing de succes.

Cum ar putea infractorii cibernetici să utilizeze ChatGPT în scopuri malițioase?

ChatGPT se bazează pe familia OpenAI GPT-3 de modele de tip Large Language Model. Ca atare, acest chatbot a fost meticulos programat pentru putea interacționa cu utilizatorii pe un ton conversațional, uimind pe mulți cu naturalețea răspunsurilor sale. Este o aplicație aflată încă în etapa de debut, dar unele dintre caracteristicile sale ridică semne de întrebare.

În vreme ce OpenAI a integrat măsuri de protecție pentru a preveni utilizarea sa în scopuri ilicite, acestea nu par a fi întotdeauna eficiente sau consecvente. Printre altele, o solicitare pentru ca ChatGPT să scrie un mesaj prin care se cerea ajutor financiar pentru a fugi din Ucraina a fost semnalată ca fiind o înșelătorie și refuzată. Însă o cerere separată de a redacta un e-mail fals prin care un destinatar era informat că a câștigat la loterie a primit undă verde din partea chatbot-ului. Diferite rapoarte au semnalat faptul că unele metode de control menite să împiedice utilizatorii din anumite regiuni de conflict să acceseze interfața de programare a aplicațiilor (API) a instrumentului s-au dovedit a fi ineficiente.

Este de ajuns să fie introdusă o simplă solicitare pentru ca chatbot-ul să se conformeze. Escrocii cibernetici ar putea, de asemenea, să ceară instrumentului să perfecționeze în continuare acest tip de mesaje (ce conțin, în mare parte, texte standardizate) și să folosească rezultatul îmbunătățit pentru atacuri viitoare, atât în cazul atacurilor cu țintă precisă, cât și în cazul celor aleatoare.

Aceasta este, din păcate, o veste proastă pentru utilizatorii de internet, infractorii cibernetici fiind deja surprinși în mai multe rânduri folosind ChatGPT în scopuri rău intenționate. Această evoluție ar putea permite unui număr mai mare de persoane să lanseze atacuri cibernetice și escrocherii convingătoare la scară largă sau direcționate, precum fraudele de tip compromiterea e-mail-urilor de business (BEC - Business Email Compromise).

Într-adevăr, cei mai mulți (51%) dintre liderii din domeniul securității cibernetice se așteaptă ca, în decurs de un an, ChatGPT să fie folosit, în mod abuziv, pentru un atac cibernetic de succes.

O concluzie clară este că trebuie să ne perfecționăm cu toții abilitatea de detectare a semnelor de avertizare în ceea ce privește escrocheriile online și să ne pregătim pentru o potențială creștere a numărului de e-mailuri malițioase. Iată, mai jos, câteva indicii care dau de gol o înșelătorie de tip phishing.

Cum poate fi identificată o tentativă de phishing?

1. E-mailuri sau mesaje nesolicitate

Mesajele de phishing apar, de obicei, din senin. Este adevărat că unele comunicări de marketing pot avea un aspect neașteptat. Dar atunci când primiți un e-mail nesolicitat care pretinde că provine de la o bancă sau de la orice altă organizație, ar trebui să fiți în alertă pentru detectarea activităților potențial suspecte, cu atât mai mult dacă e-mailul conține un link sau un document atașat.

2. E-mailuri care conțin link-uri și documente atașate suspecte

Una dintre metodele clasice folosite de escrocii cibernetici pentru a-și atinge scopurile este inserarea de link-uri rău intenționate în cadrul mesajelor transmise sau atașarea de fișiere ce conțin cod malițios. Aceste fișiere atașate ar putea instala pe ascuns programe malware pe dispozitivul dvs. sau, în cazul linkurilor, vă pot conduce către o pagină web falsă unde vă sunt solicitate informații personale. Evitați să faceți click pe link-uri, să descărcați fișiere sau să deschideți documentele dintr-un email suspect, chiar dacă acestea par a fi dintr-o sursă de încredere, fără să verificați, prin intermediul unor canale de comunicare suplimentare, că mesajul este autentic.

3. Vi se solicită informații personale și financiare

Care este scopul final al oricărui atac de tip phishing? Uneori, acesta este de a convinge destinatarul să instaleze, fără să vrea, malware pe computerul său. Dar, în majoritatea celorlaltor cazuri, scopul final este acela de a-l păcăli pe destinatar să furnizeze informații personale. Aceste date sunt, de obicei, tranzacționate pe piața criminalității cibernetice iar, mai apoi, sunt folosite pentru infracțiuni ulterioare, precum furtul de identitate sau frauda financiară. Escrocii ar putea utiliza datele personale pentru solicitarea unei noi linii de credit în numele victimei sau pentru tranzacții online.

4. Sunteți presat să luați o decizie

Unele tentative de phishing se bazează pe o tehnică cunoscută sub numele de inginerie socială. Aceasta reprezintă, în esență, capacitatea de a-i determina pe alți oameni să facă ceea ce dorești prin folosirea persuasiunii și exploatând eroarea umană. Inducerea unui sentiment de urgență este o tactică clasică de inginerie socială: escrocii cibernetici transmit victimei că timpul pentru a răspunde este limitat, altfel nu vor putea beneficia de oferta în cauză sau de premiul prezentat.

5. Există iluzia unui beneficiu oferit „gratuit”

Dacă ceva pare prea frumos pentru a fi adevărat, atunci, de obicei, așa și este. Totuși, asta nu îi împiedică pe oameni să cadă în plasa infractorilor care se folosesc de promisiunea unui premiu. Un exemplu clasic în acest sens sunt „cadourile” generoase oferite în schimbul participării la sondaje online: victimelor le sunt solicitate informații personale și/sau financiare pentru a putea primi dispozitivul, cardul cadou, suma de bani sau orice alt obiect. Din păcate, victima va rămâne doar cu paguba financiară, orice premiu promis nefiind livrat niciodată.

6. Există discrepanțe între adresa de e-mail a expeditorului și domeniul real

Infractorii cibernetici vor încerca adesea să „deghizeze” adresa lor de e-mail astfel încât aceasta să pară că provine dintr-o sursă legitimă. De exemplu, trecând cu mouse-ul peste domeniul expeditorului, se va afișa, adesea, adresa de e-mail reală. Dacă cele două nu se potrivesc și/sau dacă cea de bază este o combinație lungă de caractere aleatorii, există șanse mari ca e-mailul să fie o tentativă de phishing.

7. E-mailul conține formule de salut nefamiliare sau generice

Escrocii încearcă să fure identitatea persoanelor din organizații legitime în încercarea de a câștiga încrederea victimelor lor. Dar este posibil ca aceștia să nu folosească întotdeauna formula de adresare potrivită în cadrul e-mailurilor de phishing. Dacă sunteți obișnuit ca o companie anume să vi se adreseze în mod formal, dar observați că aceasta vă trimite un e-mail în care formularea este informală, atunci ar trebui să vă puneți un semn de întrebare. De asemenea, este important să știți că nici o instituție bancară sau altă organizație legitimă nu va folosi o adresă de e-mail gratuită, de genul Gmail.

8. E-mailul menționează evenimente curente sau situații de urgență

O altă tehnică clasică de inginerie socială este aceea de a profita de evenimentele de actualitate sau de situațiile de urgență pentru a convinge destinatarii să acceseze link-ul din mesaj. Acesta este motivul pentru care e-mailurile de phishing au cunoscut o creștere vertiginoasă în timpul pandemiei și, de asemenea, motivul pentru care infractorii cibernetici au desfășurat escrocherii caritabile imediat după ce Rusia a invadat Ucraina. Așadar, fiți întotdeauna sceptici cu privire la mesajele care citează evenimente recente, intens mediatizate.

9. Mesajul conține cereri neobișnuite

În mod similar, fiți atenți la e-mailurile cu solicitări neobișnuite. De exemplu, banca dvs. vă cere să confirmați detaliile personale și financiare prin e-mail sau SMS, ceea ce o instituție bancară oficială nu va face niciodată. Fiți prudenți și tratați cu atenție e-mailurile care conțin formula de adresare „Stimate client" sau „Stimate [adresă de e-mail]".

10. Există o cerință de plată

Phishing-ul constă în general în colectarea de informații personale și/sau instalarea de programe malware. Dar unele escrocherii sunt chiar mai directe. Este de la sine înțeles că nu ar trebui să acceptați niciodată să oferiți bani cuiva care vă trimite un mesaj nesolicitat, chiar dacă acesta este descris ca fiind o „taxă" sau un „comision" pentru livrarea unui cadou sau a unui premiu în bani.

Metodele clasice prin care o tentativă de phishing putea fi detectată cu ușurință, cum sunt erorile gramaticale din cadrul mesajului, spre exemplu, pot deveni de domeniul trecutului datorită unor instrumente precum ChatGPT. Dar, din fericire, există multe alte semne care să avertizeze cu privire la posibile escrocherii. Nu vă grăbiți niciodată să răspundeți sau să puneți în practică solicitările din cadrul mesajelor primite și gândiți-vă întotdeauna la ceea ce a motivat o persoană să trimită un anumit mesaj.

Puteți identifica un email sau un mesaj de phishing? Puneți-vă la încercare atenția la detalii și capacitatea de analiză rapidă parcurgând testul prezentat în videoclipul de mai jos.

Alte articole similare: 

• Don’t get phished! How to be the one that got away
• Phish Allergy – Recognizing Phishing Messages
• Phishing unravelled