ChatGPT jest modelem językowym, który może być wykorzystywany do najróżniejszych celów. W branży cyberbezpieczeństwa może mieć zastosowanie analizie i wykrywaniu zagrożeń, anomalii poprzez przetwarzanie danych z logów systemowych i sieciowych.
ChatGPT może także pomóc w analizie danych związanych z atakami phishingowymi, detekcji i zapobieganiu naruszeniom bezpieczeństwa, a także w wykrywaniu i analizowaniu złośliwego oprogramowania. Może działać jako „expert in a box” dla firm z mniejszą wiedzą lub zasobami. Może na przykład pomóc w stworzeniu planu reakcji na incydenty lub odpowiedzieć na kilka prostych pytań. Może być również wykorzystany do tworzenia prostych skryptów do automatyzacji w różnych językach programowania. ChatGPT może też pomóc w tworzeniu materiałów szkoleniowych i w ten sposób przyczynić się do poprawy bezpieczeństwa i zwiększenia odporności na cyberataki, zarówno w firmach, jak i wśród użytkowników indywidualnych.
Jaki jest potencjał ChatGPT, który mogliby wykorzystać hakerzy i oszuści? Czy ich oszustwa będą bardziej wiarygodne i będą w stanie wyłudzić więcej informacji od ofiar?
ChatGPT w zasadzie pozwala atakującym na szybsze i bardziej zautomatyzowane pisanie tekstów phishingowych i niektórych podstawowych złośliwych programów. w tej chwili nie tworzy on wyrafinowanego nowego złośliwego systemu ani nie zmieni znacząco krajobrazu zagrożeń, poza zwiększeniem ich częstotliwości.
Modele takie jak ChatGPT są czasami opisywane jako „stochastyczne papugi”, co odnosi się do modeli językowych (LM) trenowanych na ogromnych ilościach danych, i tak, są one dobre w generowaniu wielu tekstów. Jednak tylko niektóre formy phishingu opierają się na znaczeniu tekstów, podczas gdy inne polegają bardziej na widocznych cechach wiadomości e-mail, np. na upodobnieniu wiadomości e-mail do powiadomienia o transakcji bankowej, czego ChatGPT nie jest w stanie wygenerować. Podczas gdy ChatGPT z pewnością pomoże oszustom wygenerować więcej tekstów, w różnych językach, jest mniej pewne, iż pomoże wygenerować lepsze, bardziej przekonujące teksty. Generowanie większej ilości tekstów może być również niebezpieczne dla potencjalnych ofiar, ponieważ same mechanizmy antyphishingowe mogą polegać na modelach językowych w celu wykrycia złośliwych intencji w tekście. Prawdopodobnie mechanizmy antyphishingowe mogą zostać wyszkolone do wykrywania e-maili generowanych przez ChatGPT, ale z pewnością jesteśmy świadkami kolejnego zwrotu tej niekończącej się walki na nowym poziomie.
Inne możliwe sposoby wykorzystania ChatGPT przez hakerów i oszustów:
- Analiza kodu źródłowego w celu znalezienia słabych punktów (np. wstrzyknięcia SQL, przepełnienia bufora) – to nic nowego, ChatGPT po prostu pomógł niedoświadczonym napastnikom zyskać na czasie.
- Pisanie exploitów — choć w tej chwili testy pokazały, iż jeszcze nie zawsze działa to tak dobrze.
- Automatyzacja kodu — pomaga początkującym szybciej zautomatyzować swoją część (np. „napisz skrypt, aby użyć password dump do zalogowania się na twittera”)
- Pisanie złośliwego systemu — częściowo zablokowane przez wytyczne, ale proste makra są przez cały czas możliwe, nie jest to tworzenie niczego „nowego”, ponieważ można je znaleźć również w Google, więc ponownie, jest to po prostu ułatwienie dostępu dla mas.
- Chat boty do inżynierii społecznej — może to być „nowość” dla oszustw typu scam, BEC, oszustw romansowych lub atakowania celów na LinkedIn, gdzie potrzeba kilku interakcji z ofiarą. Automatyzacja może być tak daleko posunięta, iż rozmówca poczuje się, jak podczas prawdziwej rozmowy.
Jak prawdopodobne jest, iż to się stanie ?
Pojawiły się doniesienia o wykorzystaniu ChatGPT do generowania maili phishingowych przez red teamerów, więc to już się dzieje. Były też doniesienia na podziemnych forach, gdzie niektórzy atakujący stworzyli w Pythonie kradnącego hasła dzięki ChatGPT. Z drugiej strony, OpenAI stale aktualizuje i dostosowuje ChatGPT, aby zmniejszyć prawdopodobieństwo wykorzystania go do wyrządzenia szkody, zarówno w świecie fizycznym, jak i wirtualnym.
Jak firmy, a w szczególności osoby prywatne, mogą bronić się przed takimi oszustwami? Jakie są najważniejsze znaki, na które należy uważać?
Ponieważ ChatGPT był szkolony na istniejących tekstach, te generowane nie będą „lepsze”. Aby wykryć potencjalnie złośliwe e-maile, można zauważyć typowe oznaki oszustw, takie jak „status pilności”. Można je rozpoznać dzięki wykorzystaniu pewnych słów kluczowych np. pilne, przelew, działaj teraz,
hasło, które sprawiają, iż email phishingowy wydaje się pilny i ważny. Ponadto ChatGPT nie może w magiczny sposób sprawić, iż e-mail będzie wyglądał na pochodzący z Twojego banku, stare metody takie jak podobnie wyglądające, ale fałszywe adresy e-mail i domeny są przez cały czas wykorzystywane przez oszustów. Takie wskaźniki, jak nagłówki emaili lub adresy URL (w tym SPF, DKIM, DMARC) są to informacje o tym, skąd i z jakiego serwera wysłano email, dla jakich domen ten serwer jest skonfigurowany. To w zasadzie oznacza, iż choćby jeżeli tekst maila jest doskonały, jeżeli został wysłany z konta pocztowego przykład fake()hacker.com, to i tak będzie łatwy do zauważenia.
W jaki sposób AI takie jak ChatGPT mogą być wykorzystane do wyłudzania pieniędzy od zwykłych ludzi, a choćby do włamywania się do nich?
ChatGPT nie może być użyty do „hakowania ludzi”, bo to model do generowania tekstów. ChatGPT czyni AI bardziej dostępnym, stąd więcej osób bez umiejętności technicznych może dołączyć do cyberprzestępczości, ale APT (Advanced Persistent Threat) i inne mają zautomatyzowane ataki od lat, więc dla nich kilka się zmienia. Scenariusze, które widzieliśmy:
- Pisanie przekonujących maili phishingowych, zwłaszcza BEC (Business email compromise).
- Modele AI, takie jak ChatGPT, pomagają tworzyć więcej wariantów, aby zmniejszyć skuteczność sygnatur, ponieważ łatwiej jest modyfikować wzory tekstu w locie.
- Mogą one również generować tekst w większej liczbie języków, co skutkuje lepszym pokryciem w językach lokalnych.