Rákapnak a ChatGPT ízére a kiberbűnözők

​Egyre több intő jel utal arra, hogy a kiberbűnözők is komolyan elkezdtek foglalkozni a ChatGPT adta lehetőségek kiaknázásával.
 

Bár az OpenAI épített biztonsági mechanizmusokat a ChatGPT-be, hogy megakadályozza annak aljas célokra történő felhasználását, úgy tűnik, hogy ezek nem mindig bizonyulnak hatékonynak vagy következetesnek. 

Egy Ukrajnából való meneküléshez pénzügyi segítséget kérő üzenet megírására irányuló kérést például átverésnek minősített és elutasított a rendszer. Zöld utat kapott viszont egy hamis e-mail megírásával kapcsolatos kérelem, amely arról akarta tájékoztatni a címzettet, hogy megnyerte a lottót. 

Biztonsági szakemberek már többször észlelték, hogy kiberbűnözők rossz célokkal használják a ChatGPT-t. Így nem igazán meglepő, hogy a kiberbiztonsági vezetőknek már több mint a fele arra számít, hogy a ChatGPT segítségével egy éven belül sikeres kibertámadást követnek el a feketekalapos hackerek.

A csalók leveleit gyakran tarkító nyelvtani hibák a feledés homályába merülhetnek az olyan eszközöknek köszönhetően, mint a ChatGPT. Az ESET szakértői szerint szerencsére más intő jelek is figyelmeztethetnek bennünket a lehetséges átverésekre. Ezért szánjunk időt az e-mailek alapos áttekintésére, és mindig gondolkodjunk el azon, hogy mi motiválhatta a szokatlan levél szerzőjét az üzenet elküldésére.

Csizmazia-Darab István, a Sicontact Kft. kiberbiztonsági szakértője szerint az egyik nyilvánvaló tanulság, hogy mindannyiunknak éberebbnek kell lennünk, hogy felismerjük az online csalások árulkodó jeleit, valamint fel kell készülnünk arra, hogy egyre több ilyen kártékony e-mail érkezik majd a postafiókunkba. 

Honnan tudhatjuk, hogy adathalász e-mailt olvasunk?

Kéretlen kapcsolatfelvétel: az adathalász levelek általában váratlanul bukkannak fel. Az igazsághoz persze hozzátartozik, hogy sok ártalmatlan, de bosszantó üzleti célú, marketinglevél is érkezik így a postafiókokba. Amikor viszont egy bank vagy bármely más vállalat kéretlen e-mailjét találjuk a bejövő levelek között, érdemes automatikusan gyanakodnunk a tartalmat illetően, különösen akkor, ha a levél linket vagy csatolmányt is tartalmaz. 

Linkek és csatolmányok: a csalók egyik klasszikus módszere, hogy kártékony linkeket ágyaznak be, vagy rosszindulatú fájlokat csatolnak az e-mailekhez. A csatolmányok kártékony programot telepíthetnek az eszközeinkre, a linkek pedig egy adathalász oldalra irányíthatnak, ahol személyes adatainkat kérik. Ezért ne kattintsunk rá a kéretlen, gyanús levelekben található linkekre, és ne nyissuk meg vagy mentsük le a csatolmányokat.

Személyes és pénzügyi információk iránti kérelmek: sokszor a személyes adatok eltulajdonítása a céljuk a csalóknak, amelyeket aztán eladnak a dark weben. A megtévesztésnek ezer módja lehet, de történhet például új hitelkeret felvételére vonatkozó kéréssel, vagy egy termék online kifizetésére való felszólítás által is.

A nyomásgyakorlás taktikája: az adathalászat alapja a social engineering, amelynek lényege, hogy meggyőzéssel és az emberi hiszékenység kihasználásával rászednek felhasználókat. Gyakori azonban, hogy az áldozatnak azt mondják, hogy korlátozott időn belül kell reagálnia, különben megbírságolják, hátrány éri vagy elmulasztja az esélyt, hogy nyerjen valamit. Ezek azonban mind csak mondvacsinált kijelentések.

"Ingyenes" termékek és szolgáltatások: ha valami túl szép ahhoz, hogy igaz legyen, akkor az rendszerint nem is az. Ez azonban nem akadályozza meg az embereket abban, hogy bedőljenek a nem létező ingyen ajándékoknak vagy a túlságosan kecsegtető ajánlatoknak. 

Hamis e-mail címek: az adathalászok gyakran próbálják úgy feltüntetni az e-mail címüket, mintha az valós és megbízható lenne, de valójában ez nem így van. 

Szokatlan vagy általános üdvözlések: az adathalászok sokszor megpróbálják magukat törvényes szervezetek vagy vállalatok képviselőinek kiadni, hogy bizalmat keltsenek az áldozataikban. Ugyanakkor nem mindig tudják, hogy milyen stílusban írjanak e-maileket, ami árulkodó lehet.

Aktuális események vagy vészhelyzetek kihasználása: egy másik hagyományos social engineering technika a népszerű hírek vagy vészhelyzetek felhasználása annak érdekében, hogy a címzetteket rávegyék kattintásra. 

Szokatlan kérelmek: hasonlóképpen óvakodjunk az olyan e-mailektől, amelyekben a feladó szokatlan kérelmeket fogalmaz meg. Nem szabad elfelejteni, hogy egy valódi pénzintézet soha nem kér bizalmas adatokat (például jelszavakat) e-mailben, SMS-ben vagy telefonon keresztül. 

Pénzkérés: az adathalászat főleg a személyes adatok megszerzéséről és/vagy kártékony programok telepítéséről szól. Azonban magától értetődőnek kell lennie annak is, hogy sosem szabad pénzt utalni olyasvalakinek, aki kéretlen üzenetet küld. Ez igaz akkor is, ha egy csomag kézbesítéséért vagy készpénzes nyereményért cserébe kérnek pénzt tőlünk.