ChatGPT đã thu hút sự chú ý của mọi người, thay đổi cách họ làm việc và thay đổi cách họ tìm kiếm thông tin trực tuyến. Ngay cả những người chưa thử nghiệm nó cũng tò mò về cách trí tuệ nhân tạo (AI) của chatbot sẽ ảnh hưởng đến tương lai.
Tội phạm mạng đã khám phá cách họ có thể tận dụng hiện tượng này. FraudGPT là một ví dụ gần đây về điều đó.
FraudGPT là gì?
FraudGPT là một sản phẩm được bán trên web tối và Telegram hoạt động tương tự như ChatGPT nhưng tạo nội dung để tạo điều kiện cho các cuộc tấn công mạng. Các thành viên của nhóm nghiên cứu mối đe dọa tại Netenrich đầu tiên nhận biết và thấy quảng cáo nó vào tháng 7 năm 2023. Một điểm bán chính là FraudGPT không có các điều khiển và hạn chế tích hợp sẵn mà ngăn ChatGPT từ việc thực hiện hoặc trả lời các yêu cầu không thích hợp.
Chi tiết hơn nói rằng công cụ này được cập nhật mỗi một đến hai tuần và có các mô hình AI khác nhau dưới nền. FraudGPT cũng có một mô hình giá dựa trên đăng ký. Mọi người có thể trả $200 để sử dụng nó hàng tháng hoặc $1,700 cho một năm.
FraudGPT hoạt động như thế nào và có thể làm gì?
Nhóm Netenrich đã mua và kiểm tra FraudGPT. Giao diện trông giống như ChatGPT, với một bản ghi về các yêu cầu trước đó của người dùng ở thanh bên trái và cửa sổ trò chuyện chiếm phần lớn màn hình. Người ta chỉ cần gõ vào cửa sổ "Hỏi câu hỏi" và nhấn Enter để tạo ra câu trả lời.
Một trong những yêu cầu kiểm tra yêu cầu công cụ tạo email lừa đảo liên quan đến ngân hàng. Người dùng chỉ cần định dạng câu hỏi của họ để bao gồm tên ngân hàng, và FraudGPT sẽ làm phần còn lại. Nó thậm chí còn đề xuất nơi nào trong nội dung mà người dùng nên chèn một liên kết độc hại. FraudGPT có thể tiến xa hơn bằng cách tạo ra các trang đích lừa đảo khuyến khích người truy cập cung cấp thông tin.
Các yêu cầu khác yêu cầu FraudGPT liệt kê các trang web hoặc dịch vụ được mục tiêu hoặc sử dụng nhiều nhất. Thông tin đó có thể giúp hacker lập kế hoạch cho các cuộc tấn công trong tương lai. Một quảng cáo trên web tối cho sản phẩm đã đề cập rằng nó có thể tạo ra mã độc hại, xây dựng phần mềm độc hại không thể phát hiện được, tìm ra các lỗ hổng, xác định mục tiêu, và nhiều hơn nữa.
Nhóm Netenrich cũng xác định người bán FraudGPT là một người trước đây cung cấp dịch vụ hacker theo yêu cầu. Ngoài ra, họ liên kết cùng một cá nhân với một công cụ tương tự gọi là WormGPT.
Các nhà nghiên cứu từ SlashNext nói rằng các thuật toán của công cụ này được đào tạo trên lượng lớn dữ liệu malware. Nhóm này nói rằng WormGPT có tiềm năng đặc biệt để tạo ra các thông điệp lừa đảo và gian lận email doanh nghiệp có vẻ chân thực.
Bằng chứng về những công cụ này chứng tỏ rằng tội phạm mạng tiếp tục tiến hóa để làm cho các cuộc tấn công của họ ngày càng thành công. Các chuyên gia công nghệ và người đam mê công nghệ có thể làm gì để đảm bảo an toàn?
Mẹo cho An ninh mạng trong Thời đại của FraudGPT và Các Công cụ Tương tự
Cuộc điều tra về FraudGPT làm nổi bật nhu cầu giữ cảnh giác. Những công cụ này mới, vì vậy vẫn còn quá sớm để nói khi nào hacker có thể sử dụng chúng để tạo ra các mối đe dọa chưa từng thấy trước - hoặc nếu họ đã có. Tuy nhiên, FraudGPT và các sản phẩm khác được sử dụng cho mục đích độc hại có thể giúp hacker tiết kiệm thời gian. Họ có thể viết email lừa đảo trong vài giây hoặc phát triển các trang đích hoàn chỉnh gần như cũng nhanh chóng.
Điều đó có nghĩa là mọi người phải tiếp tục tuân thủ các phương pháp an ninh mạng tốt nhất, bao gồm luôn nghi ngờ về các yêu cầu thông tin cá nhân. Những người đang ở vị trí an ninh mạng nên cập nhật các công cụ phát hiện mối đe dọa của họ và biết rằng những người xấu có thể sử dụng các công cụ như FraudGPT để trực tiếp tấn công và xâm nhập vào cơ sở hạ tầng trực tuyến.
Hacker không phải là mối đe dọa duy nhất
Ngày càng có nhiều người sử dụng ChatGPT trong công việc của họ, nhưng điều đó không nhất thiết là tốt cho an ninh mạng. Nhân viên có thể vô tình tiết lộ thông tin mật của công ty bằng cách dán nó vào ChatGPT. Các công ty, bao gồm cả Apple và Samsung, đã hạn chế cách nhân viên có thể sử dụng công cụ trong vai trò của họ.
Một nghiên cứu cho thấy 72% các doanh nghiệp nhỏ đóng cửa trong vòng hai năm sau khi mất dữ liệu. Nhiều người chỉ coi hoạt động tội phạm là nguyên nhân gây mất thông tin. Tuy nhiên, những người có tư duy tiến bộ cũng nhận ra rủi ro của việc dán dữ liệu bí mật hoặc độc quyền vào ChatGPT.
Những lo ngại đó không hề không có căn cứ. Một lỗi của ChatGPT vào tháng 3 năm 2023 đã tiết lộ thông tin thanh toán của những người đã sử dụng công cụ trong một khoảng thời gian 9 giờ và đăng ký phiên bản trả phí. Hơn nữa, các phiên bản sau của ChatGPT được đào tạo dựa trên thông tin được nhập bởi người dùng trước đó. Dễ dàng tưởng tượng ra các vấn đề nếu các chi tiết mật đã trở thành một phần của dữ liệu dạy cho các thuật toán làm việc. Người dùng có thể chọn không cho phép các câu hỏi của họ được sử dụng để đào tạo, nhưng đó không phải là cài đặt mặc định.
Vấn đề cũng có thể xảy ra nếu nhân viên cho rằng bất kỳ thông tin nào họ nhận được từ ChatGPT là chính xác. Những người sử dụng công cụ cho các nhiệm vụ lập trình và mã hóa đã cảnh báo rằng nó cung cấp các câu trả lời không chính xác mà các chuyên gia ít kinh nghiệm có thể coi là sự thật.
Một bài báo nghiên cứu từ Đại học Purdue vào tháng 8 năm 2023 xác nhận khẳng định đó bằng cách kiểm tra ChatGPT với các câu hỏi lập trình. Những kết luận đáng kinh ngạc đã phát hiện ra rằng công cụ này cung cấp câu trả lời sai trong 52% các trường hợp và nói nhiều 77% thời gian. Nếu ChatGPT cũng làm sai các yêu cầu liên quan đến an ninh mạng, nó có thể gây ra những thách thức cho các nhóm IT cố gắng dạy nhân viên cách ngăn chặn các cuộc tấn công.
ChatGPT có thể trở thành một sân chơi cho hacker
Một điều quan trọng cần nhận ra là hacker vẫn có thể gây ra thiệt hại phi thường mà không cần trả tiền cho các sản phẩm như FraudGPT. Các nhà nghiên cứu an ninh mạng đã chỉ ra rằng phiên bản miễn phí của ChatGPT cho phép họ thực hiện nhiều việc tương tự. Các biện pháp bảo vệ tích hợp trong công cụ này có thể làm cho việc đạt được kết quả mong muốn trở nên khó khăn hơn. Tuy nhiên, tội phạm biết cách sáng tạo, điều đó có thể bao gồm việc manipulativ ChatGPT để làm cho nó hoạt động theo ý muốn của họ.
Trí tuệ nhân tạo cuối cùng có thể mở rộng tầm với của các hacker và giúp họ tiến hành các cuộc tấn công nhanh hơn. Ngược lại, nhiều chuyên gia an ninh mạng cũng sử dụng trí tuệ nhân tạo để tăng cường nhận thức về mối đe dọa và tăng tốc phục hồi. Do đó, mọi người có thể phụ thuộc vào công nghệ để củng cố và xói mòn các biện pháp bảo vệ. Không có gì ngạc nhiên khi một cuộc khảo sát vào tháng 6 năm 2023 cho thấy 81% người tham gia có lo ngại về an toàn và bảo mật của ChatGPT.
Một khả năng khác là mọi người có thể tải xuống cái mà họ tin là ứng dụng ChatGPT thật sự và nhận được phần mềm độc hại thay vì. Không mất nhiều thời gian cho nhiều ứng dụng giống như công cụ này xuất hiện trên cửa hàng ứng dụng. Một số chỉ hoạt động tương tự và không có vẻ như cố ý lừa gạt người dùng. Tuy nhiên, một số khác có tên giống nhau - như "Chat GBT" - có thể dễ dàng lừa gạt những người không nghi ngờ.
Hacker thường nhúng mã độc trong các ứng dụng có vẻ hợp lệ. Mọi người nên mong đợi họ tận dụng sự phổ biến của ChatGPT như cách đó. Công nghệ mới nổi yêu cầu các phương pháp an ninh mạng mới.
Cuộc nghiên cứu về FraudGPT là một lời nhắc nhở đáng nhớ về cách tội phạm mạng sẽ tiếp tục thay đổi kỹ thuật của họ để có tác động lớn nhất. Tuy nhiên, các công cụ miễn phí có thể gây ra rủi ro an ninh mạng. Bất kỳ ai sử dụng internet hoặc làm việc để bảo vệ cơ sở hạ tầng trực tuyến phải tiếp tục cập nhật với các công nghệ mới và các rủi ro của chúng. Điều quan trọng là sử dụng các công cụ như ChatGPT một cách có trách nhiệm trong khi vẫn nhận biết về nguy cơ tiềm ẩn.
Đăng nhận xét