Világszerte rohamléptekkel nő a ChatGPT népszerűsége, amely mindössze két hónappal az elindítása után már 100 millió havi aktív felhasználóval rendelkezik. Az ESET kiberbiztonsági szakértői azonban felhívják a figyelmet arra, hogy az intelligens válaszokat generáló alkalmazással csalók nagyon könnyen visszaélhetnek. A chatbottal viszonylag alacsony költséggel, automatizált módon lehet tömeges csalási kampányokat létrehozni, ez pedig az eddigieknél is meggyőzőbb adathalász-támadások új hullámát idézheti elő.
Amit szinte mindenki kívülről fúj már: a ChatGPT a felhasználók mindenféle kérdéseire képes intelligensnek ható válaszokat adni. Tud beszélgetni az élet nagy kérdéseiről, képes irodalmi esszét írni, programot javítani, házi feladatot megoldani, verset írni és rengeteg egyebet. A ChatGPT sokakat lenyűgözött válaszaival, hiszen gondosan „betanították” arra, hogy a felhasználókkal társalgási stílusban kommunikáljon. A termék még kezdetleges állapotban van, de már az első jelek is aggasztóak, vélik az ESET kutatói.
Ki kell ábrándítsuk: a ChatGPT is a pénzről szól - és úgy néz ki, hogy még a magyar kenyérnél is drágább
Jelenleg a világ egyik legdrágább játékszere a ChatGPT: milliók próbálgatják ingyen, és minden egyes beírt soruk hétszer-tízszer drágább következménnyel jár, mintha a hagyományos Google keresőbe gépeltek volna be valamit. A hasonló megoldásokat a színfalak mögött már évek óta fejlesztik a legnagyobb techóriások, az elmúlt hónapokban csak annyit történt, hogy elkezdték megmutatni a lapjaikat.
Bár az OpenAI épített biztonsági mechanizmusokat a termékbe, hogy megakadályozza annak aljas célokra való felhasználását, ezek nem mindig bizonyulnak hatékonynak vagy következetesnek.
Kiberbiztonsággal foglalkozó szakemberek már többször észlelték, hogy kiberbűnözők rossz szándékkal használják a ChatGPT-t. A fejlesztések által minden eddiginél több ember lehet képes nagyszabású, meggyőző, hibáktól mentes, és akár célzott kibertámadások és csalások végrehajtására. A BlackBerry felmérése szerint a kiberbiztonsági vezetők többsége (51%) arra számít, hogy a ChatGPT segítségével egy éven belül sikeres kibertámadásokat követnek el.
A klasszikus átveréseknél gyakori nyelvtani hibák a feledés homályába merülhetnek az olyan eszközöknek köszönhetően, mint a ChatGPT. Az ESET szakértői szerint szerencsére azonban számos más intő jel is figyelmeztet bennünket a lehetséges átverésekre az online csalások új korszakának hajnalán. A Hackfelmetszők című kiberbiztonsági podcast harmadik adásában az alábbiakról tettek említést.
Honnan tudhatjuk, hogy adathalász e-mailt olvasunk?
Az adathalász levelek általában váratlanul bukkannak fel. A szakértők elismerik, hogy az igazsághoz hozzátartozik, hogy sok ártalmatlan üzleti marketinglevél is érkezik így a postafiókunkba. Amikor viszont egy bank vagy bármely más vállalat kéretlen e-mailjét találjuk a bejövő levelek között, érdemes automatikusan gyanakodnunk a tartalmat illetően, különösen akkor, ha a levél linket vagy csatolmányt tartalmaz.
Ha kap egy ilyen SMS-t, törölje azonnal, mielőtt nagyobb baj lesz belőle
Újabb csalás terjed szöveges üzenetben, ezúttal a Netflix nevében érkeznek magyar nyelvű SMS-ek.
A csalók egyik klasszikus módszere, hogy kártékony linkeket ágyaznak be, vagy rosszindulatú fájlokat csatolnak az e-mailekhez. A csatolmányok kártékony programot telepíthetnek az eszközeinkre, a linkek pedig egy adathalász oldalra irányíthatnak, ahol személyes adatainkat kérik. Ne kattintsunk rá a levélben található linkekre, és ne nyissuk meg vagy mentsük le a csatolmányokat, akkor sem, ha azok látszólag ismert, megbízható forrásból származnak – kivételt jelent ez alól, ha a feladó segítségével más csatornákon keresztül megbizonyosodtunk arról, hogy az üzenet valóban hiteles.
Esetenként arra akarják rávenni a címzettet, hogy akaratlanul kártékony programot telepítsen a gépére. A legtöbbször azonban a személyes adatok eltulajdonítása a cél, amelyeket aztán eladnak a dark weben, hogy személyazonosság-lopást és csalást kövessenek el. Ez történhet például egy új hitelkeret felvételére vonatkozó kérés, vagy egy termék online kifizetésére való felszólítás által.
Súlyos szivárogtatás: több mint 2 millió bankkártya adatait tették közzé egy illegális platformon
Rengeteg érzékeny, személyes adatot tett ingyenesen hozzáférhetővé a lopott adatok kereskedelmére szakodosott darkwebes BidenCash oldal, a bankkártyaadatokon belül is aggasztóan sok részlettel.
Az adathalászat alapja a social engineering nevű technika, amelynek lényege, hogy meggyőzéssel és az emberi hibák kihasználásával rávegyünk másokat céljaink elérésére. A sürgetés klasszikus social engineering taktika, amely során az áldozatnak azt mondják, korlátozott időn belül kell reagálnia, különben megbírságolják, vagy elmulasztja az esélyt, hogy nyerjen valamit.
Ha valami túl szép ahhoz, hogy igaz legyen, az rendszerint nem is az. Ez azonban nem akadályozza meg az embereket abban, hogy folyamatosan bedőljenek a nem létező ingyen ajándékoknak. Klasszikus példa, amikor a felhasználóknak ajándékokat ajánlanak felmérésekben való részvételért cserébe, amelyek kitöltésekor személyes és/vagy pénzügyi adatokat kell megadniuk. Természetesen az áldozatok soha nem kapják kézhez az iPhone-t, az ajándékkártyát vagy a pénzt, amit ígértek nekik.
Az adathalászok gyakran próbálják úgy feltüntetni az e-mail címüket, mintha az valós forrás lenne, de valójában ez nem így van. Amennyiben a feladó megjelenített neve fölé húzzuk az egerünket, gyakran láthatjuk a valódi e-mail címet, amelyről a levél érkezett. Ha a kettő nem egyezik és/vagy az e-mail cím véletlenszerű karakterek hosszú kombinációját tartalmazza, jó eséllyel átverésről van szó.
Minél több vírusirtót telepítek, annál jobb, vagy rosszat csinálok?
Vannak, akik nem foglalkoznak számítógépük és az azon tárolt fájljaik védelmével. Mások mindent megtesznek a biztonságukért, sokszor több őrt is állítanak a virtuális kapukba.
Az adathalászok megpróbálják magukat törvényes szervezetek vagy vállalatok képviselőinek kiadni, hogy bizalmat keltsenek áldozataikban. De nem mindig tudják, milyen stílusban írjanak e-maileket. Amennyiben egy vállalat általában a keresztnevünkön szólít minket, de egyszer egy hivatalos megszólítással rendelkező levelet kapunk tőlük, akkor érdemes riadót fújnunk, és ez fordított esetben is igaz. Fontos megjegyeznünk, hogy egyetlen legitim bank vagy nagyvállalat sem fog @gmail.com végződésű e-mail címről üzenetet küldeni nekünk.
Egy másik hagyományos social engineering technika a népszerű hírek vagy vészhelyzetek felhasználása annak érdekében, hogy a címzetteket rávegyék a kattintásra. Ez az oka annak, hogy az adathalász e-mailek száma a koronavírus-járvány ideje alatt megugrott, és annak is, hogy a bűnözők nem sokkal azután, hogy Oroszország megszállta Ukrajnát, hamis jótékonysági akciókat indítottak. Legyünk mindig szkeptikusak az aktuális történésekre hivatkozó levelekkel szemben.
Alapvetően fog megváltozni, ahogy internetezünk - nagy élmény lesz, nagy kérdésekkel
Nem azért pánikolnak a Google-nál a ChatGPT miatt, mintha ők nem tudnának hasonlót fejleszteni. Hanem mert egyelőre nem látszik, hogyan lehet majd pénzt facsarni a keresésekből az új világban. Minél közelebb próbálunk jutni a válaszhoz, annál több kérdés merül fel.
Hasonlóképpen óvakodjunk az olyan e-mailektől, amelyekben a feladó szokatlan kérelmeket fogalmaz meg. Lehet például, hogy egy bank e-mailben vagy sms-ben kéri a személyes és pénzügyi adatok megerősítését, amit egy valódi pénzintézet soha nem tesz meg. Gyanakodjunk minden olyan e-mail esetében, amely „Kedves ügyfél” vagy „Kedves [e-mail cím]” megszólítással kezdődik.
Az adathalászat főleg a személyes adatok megszerzéséről és/vagy kártékony programok telepítéséről szól. Néhány csaló azonban még ennél is konkrétabb. Magától értetődő, hogy sosem szabad pénzt utalni olyasvalakinek, aki kéretlen üzenetet küld. Ez igaz akkor is, ha egy csomag kézbesítéséért vagy készpénzes nyereményért cserébe kérnek valamiféle összeget tőlünk.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.