אז מה זה FraudGPT?
מדובר בצ'אטבוט AI שנבנה במיוחד למטרות זדוניות כמו ניסוח הודעות הונאה, פיתוח כלי פריצה וריגול ועוד. הוא דומה מאוד ל-ChatGPT, אבל אין הגבלה על אופי התכנים שניתן ליצור ולמעשה הוא נבנה במיוחד כדי לאפשר יצירת תוכן שככל הנראה היה נתקל בסירוב בפלטפורמה של OpenAI.
חוקרי הסייבר של חברת Netenrich הבחינו לראשונה בפרסום המוצר בדארק נט ביולי 2023, כשאחת מהצעות הערך המרכזיות שלו היתה שהוא מאפשר לעשות דברים ש-ChatGPT פשוט לא יגיב אליהם. החברה, שפרסמה בעבר שירותי פריצה בתשלום, עברה כעת למודל סקיילבילי ומציעה למשתמשים מנויים בתשלום חודשי על מנת שיעשו זאת בעצמם.
בפרסומת ל-FraudGPT נטען כי היא מסוגלת ליצור קוד זדוני בלתי ניתן לזיהוי המאפשר למשתמשים למצוא פרצות אבטחה, לאתר קורבנות חדשים ואף לסווג אותם לקהלי יעד ולהתאים לכל קבוצה את התכנים הזדוניים שלה, ממש כמו בקמפיין שיווקי. עוד פורסם כי הכלי מתעדכן כל שבועיים ועושה שימוש במספר סוגים שונים של בינה מלאכותית, במטרה להישאר בחזית הטכנולוגית ולהקדים את כלי האבטחה הקיימים.
כדי לרכוש את התוכנה, תצטרכו להיפרד מ-$200 לחודש או $1,700 בשנה. ניתן לרכוש את התוכנה בשווקים רבים בדארק-נט ובאפליקציית טלגרם.
איך זה עובד?
צוות Netenrich מדווח כי ממשק המשתמש דומה מאוד ל-ChatGPT, עם היסטוריית בקשות המשתמש בסרגל הצד השמאלי וחלון צ'אט שתופס את רוב שטח המסך, בו ניתן לכתוב הנחיות ולקבל תשובות ברגע.
בבדיקה, ניסה צוות המחקר ליצור מייל פישינג שיתחזה למייל רשמי של בנק מסויים. הקלט היה מינימלי - כל מה שצריך היה לרשום בשאילתא זה את שם הבנק, ו-FraudGPT כבר עשה את יתר העבודה בעצמו. הוא אפילו ציין היכן למקם את הקישורים הזדוניים בטקסט שיצר. בנוסף, הוא סיפק רשימה של אתרים בהם מבקרים המשתמשים הפגיעים ביותר בתדירות הגבוהה ביותר, מה שעשוי להיות שימושי עבור האקרים בעת תכנון מתקפות עתידיות.
אבל אם חשבתם שפה זה נגמר, תחשבו שוב, כי FraudGPT ממש לא לבד. תוכנה מקבילה בשם WormGPT מציגה את עצמה כאלטרנטיבת "כובע שחור" למודל של GPT, ונבנתה במיוחד כדי לאפשר יצירה של תוכן זדוני. WormGPT הוכשרה לכאורה על מגוון רחב של מקורות נתונים, אולם מחברי הכלי החליטו להשאיר את מערכי הנתונים שלהם חסויים.
בדיקה שערכה SlashNext הניבה תוצאות מטרידות. WormGPT הפיקה מייל שלא רק היה משכנע להפליא אלא גם ערמומי מבחינה אסטרטגית, והציג את הפוטנציאל שלו למתקפות דיוג מתוחכמות באמצעות מתקפות על מיילים עסקיים ( Business Email Compromise Attacks או BEC בקיצור).
מה אפשר לעשות?
בשלב זה לא ברור כמה האקרים כבר משתמשים בכלים הללו כדי לפתח איומים חדשים, אבל אין ספק שהם יאיצו את ההתפתחויות בעולם הסייבר ויאלצו את חברות האבטחה להישאר עם האצבע על הדופק.
האפשרות להפעיל תוכנות כמו FraudGPT כדי לתקוף מטרות ספציפיות באופן ישיר ולהשיג גישה לרשתות מחשבים קריטיות של ארגונים פירושה שהשחקנים הזדוניים יהיו הרבה יותר יעילים בעבודתם ואנשי מקצוע בתעשיית אבטחת הסייבר יצטרכו לעבוד קשה יותר כדי לשמור את כלי זיהוי האיומים שלהם מעודכנים.
הצרכנים מצידם צריכים להמשיך להיזהר מכל דרישה למידע האישי שלהם ולבחון כל מייל ב-7 עיניים לפני שהם לוחצים על לינקים. אם פעם הדרך לעשות את זה היתה לאתר שגיאות כתיב או תחביר, היום זה כבר לא יהיה כל כך שקוף ותצטרכו לחפור עמוק יותר כדי לגלות מי עומד מולכם. זאת בנוסף לשיטות מומלצות כמו שימוש בסיסמאות מורכבות ואימות דו-שלבי לכל החשבונות הדיגיטליים שלהם.
לבסוף, יש לשקול בכובד ראש איזה מידע אתם מספקים ל-ChatGPT ויתר כלי ה-AI בעבודה שלכם. עובדים עלולים לסכן באופן לא מכוון מידע סודי של החברה על ידי הדבקתו ב-ChatGPT. חברות רבות, כולל אפל וסמסונג, כבר הגבילו את האופן שבו עובדים יכולים להשתמש בכלי בעבודתם, במטרה להפחית את הסיכון לדליפה של נתונים רגישים החוצה. אם העובדים בארגון שלכם משתמשים ב-AI כדי לעבד מידע רגיש, יתכן שתרצו גם אתם להחיל מדיניות יותר ברורה לגבי מה מותר ומה אסור לשתף עם הצ'אטבוט.
מישהו פה מופתע?
FraudGPT הוא תזכורת ברורה לכך שכל טכנולוגיה, ולא משנה כמה היא מדהימה, עלולה להיות הרסנית בידיים הלא נכונות. כמו שהעולם כולו משתאה מנפלאות ה-AI, כך גם ההאקרים מיהרו לקצור את הפירות והתוצאה לפנינו. ובעוד שעולם אבטחת הסייבר הולך ומשתכלל, לא מעט בזכות ה-AI, כך גם השחקנים הזדוניים מנצלים את היכולות החדשות כדי להקדים את המשחק ולהשיג יתרון יחסי. רק אל תגידו שזה מפתיע אתכם.