ChatGPT 吸引了人们的注意力,改变了他们的工作流程并改变了他们在线获取信息的方式。即使是那些没有尝试过的人也对人工智能(AI)聊天机器人将如何影响未来感到好奇。网络犯罪分子已经探索了如何利用这一现象。FraudGPT是最近的一个例子。

什么是FraudGPT?
FraudGPT是一种在暗网和Telegram上销售的产品,其工作原理与ChatGPT类似,但创建内容以促进网络攻击。Netrich 的威胁研究团队成员于 2023 年7月首次发现并看到它的广告。一个主要的卖点是,FraudGPT 没有阻止 ChatGPT 执行或回答不适当请求的内置控件和限制。
FraudGPT

进一步的细节表明,该工具每一到两周更新一次,并在引擎盖下具有不同的AI模型。FraudGPT还具有基于订阅的定价模型。人们可以每月支付 200 美元或一年支付 1,700 美元。

FraudGPT如何运作,它能做什么?
Netrich团队购买并测试了FraudGPT。该界面看起来类似于 ChatGPT,左侧边栏中记录了用户以前的请求,聊天窗口占据了大部分屏幕。人们只需要在“提问”窗口中键入,然后按 Enter 即可生成响应。

其中一个测试提示要求该工具创建与银行相关的网络钓鱼电子邮件。用户只需要格式化他们的问题以包含银行的名称,FraudGPT 将完成其余的工作。它甚至建议人们应该在内容中插入恶意链接。FraudGPT 可以通过创建鼓励访问者提供信息的诈骗登录页面来走得更远。

其他提示要求FraudGPT列出最有针对性或使用的网站或服务。这些信息可以帮助黑客计划未来的攻击。该产品的暗网广告提到,它可以创建恶意代码、构建无法检测的恶意软件、查找漏洞、识别目标等。

Netrich团队还将FraudGPT的卖家确定为以前提供黑客雇佣服务的人。此外,他们将同一个人与一个名为WormGPT的类似工具联系起来。

SlashNext的研究人员表示,该工具的算法是在大量恶意软件数据上进行训练的。该团队表示,WormGPT在制作逼真的网络钓鱼和商业电子邮件入侵消息方面具有特殊潜力。

这些工具的证据证明,网络犯罪分子不断发展,使他们的攻击越来越成功。技术专业人士和爱好者可以做些什么来保持安全?

欺诈时代的网络安全提示GPT 和类似工具
对FraudGPT的调查强调了保持警惕的必要性。这些工具是新的,所以现在说黑客何时可能会使用它们来制造前所未见的威胁还为时过早 - 或者他们是否已经拥有。但是,FraudGPT 和其他用于恶意目的的产品可以帮助黑客节省时间。他们可以在几秒钟内编写网络钓鱼电子邮件,或者几乎以同样快的速度开发整个登录页面。

这意味着人们必须继续遵循网络安全最佳实践,包括始终对个人信息请求持怀疑态度。担任网络安全角色的人应该更新他们的威胁检测工具,并知道不良行为者可能会使用 FraudGPT 等工具直接瞄准和渗透在线基础设施。

黑客不是唯一的威胁
越来越多的工人在工作中使用ChatGPT,但这不一定对网络安全有利。员工可能会通过将机密信息粘贴到 ChatGPT 中来无意中泄露公司机密信息。包括苹果和三星在内的公司已经限制了员工在角色中使用该工具的方式。

一项研究发现,72% 的小企业在丢失数据后的两年内关闭。许多人只认为犯罪活动会导致信息丢失。但是,有远见的个人也意识到将机密或专有数据粘贴到 ChatGPT 中的风险。

这些担心并非没有根据。2023年3月的 ChatGPT 漏洞泄露了在九小时内使用该工具并订阅付费版本的人的付款详细信息。此外,ChatGPT 的未来版本将根据以前用户输入的信息进行训练。很容易想象,如果机密细节成为教授算法工作的数据的一部分,问题会是什么。用户可以选择不将其提示用于培训,但这不是默认设置。

如果工作人员认为他们从 ChatGPT 获得的任何信息都是正确的,也可能会出现问题。使用该工具进行编程和编码任务的人警告说,它提供了不准确的响应,经验不足的专业人员可能会将其视为事实。

普渡大学 2023 年 52 月的一篇研究论文通过在编程问题上测试 ChatGPT 证实了这一断言。令人吃惊的结论是,该工具在52%的情况下给出了错误的答案,并且在77%的情况下是冗长的。如果 ChatGPT 也错误地处理了与网络安全相关的提示,则可能会给试图教员工如何防止黑客攻击的 IT 团队带来挑战。

ChatGPT可能成为黑客的游乐场
要意识到的关键一点是,黑客仍然可以在不支付FraudGPT等产品的情况下造成非凡的损害。网络安全研究人员已经指出,ChatGPT 的免费版本允许他们做许多同样的事情。该工具的内置保护措施可能会使立即获得预期结果变得更加困难。但是,犯罪分子知道如何发挥创造力,其中可能包括操纵 ChatGPT 使其按照他们想要的方式工作。

人工智能最终可以扩大网络犯罪分子的覆盖范围,并帮助他们更快地策划攻击。相反,许多网络安全专业人员使用 AI 来提高威胁意识并加快修复速度。因此,人们可以依靠技术来加强和削弱保护措施。毫不奇怪,2023 年 81 月的一项调查显示,81% 的受访者对 ChatGPT 有安全和安保担忧。

另一种可能性是,人们可以下载他们认为是真正的 ChatGPT 应用程序并接收恶意软件。没过多久,许多类似于该工具的应用程序就出现在应用商店中。有些只是类似地工作,似乎并没有故意欺骗用户。然而,其他人的名字听起来很相似 - 例如“聊天GBT ” - 很容易愚弄毫无戒心的人。

黑客通常会将恶意软件嵌入看似合法的应用程序中。人们也应该期望他们以这种方式利用ChatGPT的受欢迎程度。

新兴技术需要新的网络安全方法
对 FraudGPT 的研究令人难忘地提醒人们,网络犯罪分子将如何不断改变他们的技术以获得最大的影响。但是,免费提供的工具也带来了网络安全风险。任何使用互联网或致力于保护在线基础设施的人都必须及时了解新技术及其风险。关键是负责任地使用像ChatGPT这样的工具,同时保持对潜在危害的了解。