ChatGPT potrafi wiele: napisać przepis na kluski śląskie, napisać życzenia, streścić artykuł czy stworzyć prosty kod. Okazuje się jednak, iż model językowy od OpenAI potrafi wygenerować również treści, które potencjalnie mogą wykorzystać cyberprzestępcy.
Jak udowadniają naukowcy z Check Point Research, ChatGPT posiada więcej zastosowań niż tylko generowanie prostych tekstów i odpowiadanie na różne pytania internautów. ChatGPT jest w stanie także tworzyć wiadomości możliwe do wykorzystania w atakach phishingowych czy samodzielnie pisać kod złośliwych aplikacji.
ChatGPT generuje treści reklamowe, kazania i… emaile z oszustwami
W eksperymencie badacze z Check Point Research zlecili ChatGPT napisanie dwóch wiadomości email. Pierwszej mogącej potencjalnie zostać wykorzystanej w ataku phishingowym, w którym cyberprzestępca podszywa się pod fałszywą usługę hostingową Host4u. Z kolei treść drugiej wiadomości miała nakłonić użytkownika do pobrania zainfekowanego załącznika.
W obu przypadkach ChatGPT wypełnił swoje zadanie, a treść maili była nie tylko wiarygodna, ale także poprawna językowo. Co ciekawe, ze względu na komunikację w języku angielskim, oprogramowanie OpenAI było w stanie zidentyfikować szkodliwą treść i wystosować do użytkownika odpowiedni komunikat.
W drugim eksperymencie uczeni poprosili model językowy o stworzenie kodu w języku Visual Basic, który poprzez otwarcie w Microsoft Excel spowoduje pobranie potencjalnie szkodliwego pliku. Pierwszy kod wygenerowany przez ChatGPT wymagał poprawek, które model naniósł po otrzymaniu instrukcji od naukowców.
ChatGPT jest w stanie wyłudzić również PESEL
Postanowiliśmy sprawdzić możliwości ChatGPT w tworzeniu treści, które hipotetyczny cyberprzestępca mógłby wykorzystać w ataku phishingowym lub oszustwie.
ChatGPT oprócz wygenerowania treści zgodnych z zapytaniem, samodzielnie stworzył także wiarygodne powody, dla których użytkownik powinien mu zaufać. Oprogramowanie OpenAI – w przeciwieństwie do treści generowanych w języku angielskim dla Check Point Research – nie ostrzega o szkodliwości generowanych treści.
Jednocześnie ChatGPT poproszony o napisanie treści wiadomości możliwej do wykorzystania w tzw. przekręcie nigeryjskim, odmówił wygenerowania tekstu.
Model językowy sam w sobie przez cały czas stanowi jedynie narzędzie, które ma swoje dobre i złe zastosowania. Jednakże zdolności modelu w tworzeniu tekstów wiadomości phishingowych są niepokojące, gdyż tworzy on wiarygodne scenariusze i argumenty, a co gorsza – tworzy je w języku naturalnym. Niepoprawność językowa i błędy gramatyczne są jednymi z wielu sygnałów wskazujących odbiorcom, iż mają do czynienia z cyberprzestępcami.
Teoretycznie choćby bez znajomości języka – nie tylko polskiego – dzięki ChatGPT oraz innym modelom językowym, cyberprzestępcom będzie łatwiej dotrzeć do potencjalnych ofiar.