ChatGPT mint fegyver? Az ESET szerint elhárulnak a nyelvi akadályok a csalók elől, de azért marad 10 árulkodó jel
Világszerte rohamléptekkel nő a ChatGPT népszerűsége, amely mindössze két hónappal az elindítása után már 100 millió havi aktív felhasználóval rendelkezik. Az ESET kiberbiztonsági szakértői azonban felhívják a figyelmet arra, hogy a médiában megjelenő hírek csupán az alkalmazás intelligens válaszokat generáló tulajdonságát emelik ki, miközben egy veszélyesebb valóságot rejtenek el a fogyasztók elől. Ugyanis a csalók visszaélhetnek a chatbottal (amely már a Bing keresőmotorba is beépült), így elősegíthetik hogy viszonylag alacsony költséggel, automatizált módon lehessen tömeges csalási kampányokat létrehozni, ez pedig az eddigieknél is meggyőzőbb adathalász-támadások új hullámát idézheti elő.
Chatbot mint fegyver
A ChatGPT az OpenAI nevű cég mesterséges intelligencia rendszere, egy nagy nyelvi modellel rendelkező chatbot, amely a felhasználók kérdéseire képes intelligensnek ható válaszokat adni. Tud beszélgetni az élet nagy kérdéseiről, képes irodalmi esszét írni, programot javítani, házi feladatot megoldani, verset írni és rengeteg egyebet. A ChatGPT sokakat lenyűgözött válaszaival, hiszen gondosan “betanították” arra, hogy a felhasználókkal társalgási stílusban kommunikáljon. A termék még kezdetleges állapotban van, de már az első jelek is aggasztóak, vélik az ESET kutatói.
Bár az OpenAI épített biztonsági mechanizmusokat a termékbe, hogy megakadályozza annak aljas célokra való felhasználását, ezek nem mindig bizonyulnak hatékonynak vagy következetesnek. Egy Ukrajnából való meneküléshez pénzügyi segítséget kérő üzenet megírására irányuló kérést például átverésnek minősített és elutasított a rendszer. Zöld utat kapott viszont egy hamis e-mail megírásával kapcsolatos kérelem, amely arról akarta tájékoztatni a címzettet, hogy megnyerte a lottót. Független beszámolók szerint az egyes régiókban az eszköz alkalmazásprogramozási felületéhez (API) való hozzáférést megakadályozni hivatott ellenőrzések szintén sikertelenek voltak.
Ami a legnagyobb baj, hogy már többször észlelték, hogy kiberbűnözők rossz szándékkal használják a ChatGPT-t. A fejlesztések által minden eddiginél több ember lehet képes nagyszabású, meggyőző, hibáktól mentes, és akár célzott kibertámadások és csalások (például a kompromittált üzleti e-mailekkel elkövetett BEC-csalások) végrehajtására. A kiberbiztonsági vezetők többsége (51%) arra számít, hogy a ChatGPT segítségével egy éven belül sikeres kibertámadást követnek el.
Csizmazia-Darab István, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője szerint az egyik nyilvánvaló tanulság, hogy mindannyiunknak éberebbnek kell lennünk, hogy felismerjük az online csalások árulkodó jeleit, valamint fel kell készülnünk arra, hogy egyre több ilyen kártékony e-mail érkezik majd a postafiókunkba. Hogy mire érdemes odafigyelni, erről a szakértő az ESET kiberbiztonsági podcastjében, a Hackfelmetszők legújabb adásában is beszél.
Honnan tudhatjuk, hogy adathalász e-mailt olvasunk?
1) Kéretlen kapcsolatfelvétel: Az adathalász levelek általában váratlanul bukkannak fel. Az igazsághoz hozzátartozik, hogy sok ártalmatlan üzleti marketinglevél is érkezik így a postafiókunkba. Amikor viszont egy bank vagy bármely más vállalat kéretlen e-mailjét találjuk a bejövő levelek között, érdemes automatikusan gyanakodnunk a tartalmat illetően, különösen akkor, ha a levél linket vagy csatolmányt tartalmaz.
2) Linkek és csatolmányok: A csalók egyik klasszikus módszere, hogy kártékony linkeket ágyaznak be, vagy rosszindulatú fájlokat csatolnak az e-mailekhez. A csatolmányok kártékony programot telepíthetnek az eszközeinkre, a linkek pedig egy adathalász oldalra irányíthatnak, ahol személyes adatainkat kérik. Ne kattintsunk rá a levélben található linkekre, és ne nyissuk meg vagy mentsük le a csatolmányokat, akkor sem, ha azok látszólag ismert, megbízható forrásból származnak – kivételt jelent ez alól, ha a feladó segítségével más csatornákon keresztül megbizonyosodtunk arról, hogy az üzenet valóban hiteles.
3) Személyes és pénzügyi információk iránti kérelmek: Mi a végső célja egy adathalász-támadásnak? Esetenként arra akarják rávenni a címzettet, hogy akaratlanul kártékony programot telepítsen a gépére. A legtöbbször azonban a személyes adatok eltulajdonítása a cél, amelyeket aztán eladnak a dark weben, hogy személyazonosság-lopást és csalást kövessenek el. Ez történhet például egy új hitelkeret felvételére vonatkozó kérés, vagy egy termék online kifizetésére való felszólítás által.
4) A nyomásgyakorlás taktikája: Az adathalászat alapja a social engineering nevű technika, amelynek lényege, hogy meggyőzéssel és az emberi hibák kihasználásával rávegyünk másokat céljaink elérésére. A sürgetés klasszikus social engineering taktika, amely során az áldozatnak azt mondják, korlátozott időn belül kell reagálnia, különben megbírságolják, vagy elmulasztja az esélyt, hogy nyerjen valamit.
5) “Ingyenes” termékek és szolgáltatások: Ha valami túl szép ahhoz, hogy igaz legyen, az rendszerint nem is az. Ez azonban nem akadályozza meg az embereket abban, hogy folyamatosan bedőljenek a nem létező ingyen ajándékoknak. Klasszikus példa, amikor a felhasználóknak “ajándékokat” ajánlanak felmérésekben való részvételért cserébe, amelyek kitöltésekor személyes és/vagy pénzügyi adatokat kell megadniuk. Természetesen az áldozatok soha nem kapják kézhez az iPhone-t, az ajándékkártyát vagy a pénzt, amit ígértek nekik. A Hackfelmetszők podcast harmadik adásában az ESET kiberbiztonsági szakértői több ilyen adathalász támadásról is részletesen mesélnek.
6) Eltér a feladó neve és a valódi tartomány: Az adathalászok gyakran próbálják úgy feltüntetni az e-mail címüket, mintha az valós forrásból érkezett volna, de valójában ez nem így van. Amennyiben a feladó megjelenített neve fölé húzzuk az egerünket, gyakran láthatjuk a valódi e-mail címet, amelyről a levél érkezett. Ha a kettő nem egyezik és/vagy az e-mail cím véletlenszerű karakterek hosszú kombinációját tartalmazza, jó eséllyel átverésről van szó.
7) Szokatlan vagy általános üdvözlések: Az adathalászok megpróbálják magukat törvényes szervezetek vagy vállalatok képviselőinek kiadni, hogy bizalmat keltsenek áldozataikban. De nem mindig tudják, milyen stílusban írjanak e-maileket. Amennyiben egy vállalat általában a keresztnevünkön szólít minket, de egyszer egy hivatalos megszólítással rendelkező levelet kapunk tőlük, akkor érdemes riadót fújnunk, és ez fordított esetben is igaz. Fontos megjegyeznünk, hogy egyetlen legitim bank vagy vállalat sem fog @gmail.com végződésű e-mail címről üzenetet küldeni nekünk.
8) Aktuális események vagy vészhelyzetek kihasználása: Egy másik hagyományos social engineering technika a népszerű hírek vagy vészhelyzetek felhasználása annak érdekében, hogy a címzetteket rávegyék a kattintásra. Ez az oka annak, hogy az adathalász e-mailek száma a koronavírus-járvány ideje alatt megugrott, és annak is, hogy a bűnözők nem sokkal azután, hogy Oroszország megszállta Ukrajnát, hamis jótékonysági akciókat indítottak. Legyünk mindig szkeptikusak az aktuális történésekre hivatkozó levelekkel szemben.
9) Szokatlan kérelmek: Hasonlóképpen óvakodjunk az olyan e-mailektől, amelyekben a feladó szokatlan kérelmeket fogalmaz meg. Lehet például, hogy egy bank e-mailben vagy sms-ben kéri a személyes és pénzügyi adatok megerősítését, amit egy valódi pénzintézet soha nem tesz meg. Gyanakodjunk minden olyan e-mail esetében, amely “Kedves ügyfél” vagy “Kedves [e-mail cím]” megszólítással kezdődik.
10) Pénzkérés: Az adathalászat főleg a személyes adatok megszerzéséről és/vagy kártékony programok telepítéséről szól. Néhány csaló azonban még ennél is konkrétabb. Magától értetődő, hogy sosem szabad pénzt utalni olyasvalakinek, aki kéretlen üzenetet küld. Ez igaz akkor is, ha egy csomag kézbesítéséért vagy készpénzes nyereményért cserébe kérnek “díjösszeget” tőlünk.
A nyelvtani hibák a feledés homályába merülhetnek az olyan eszközöknek köszönhetően, mint a ChatGPT. Az ESET szakértői szerint szerencsére azonban számos más intő jel is figyelmeztet bennünket a lehetséges átverésekre. Szánjunk időt az e-mailek alapos áttekintésére, és mindig gondolkodjunk el azon, mi motiválhatta a szokatlan levél szerzőjét az üzenet elküldésére.
Az ESET kiberbiztonsági podcastjában a szakértők több tippet is adnak, amelyekkel egyszerűbben felismerhetőek az adathalász e-mailek.
Kiemelt hír
Eldőlt, hogy kik képviselik Magyarországot a Nemzetközi Informatikai Csapat Diákolimpián
Két magyar csapat jutott tovább a Szíriában megrendezésre kerülő Nemzetközi Informatikai Csapat Diákolimpiára (IIOT). A világverseny nemzeti előválogatójaként szolgáló Kódkupát március 10-én rendezte meg a Neumann Társaság az Algo Pro Club és a Budapesti Fazekas Mihály Gimnázium együttműködésével. A hiánypótló csapatverseny nagy hangsúlyt helyez a csapattagok közötti kooperációra, ami a vállalati munkakultúrára is felkészíti a fiatalokat.
Kapcsolódó cikkek
- Tényleg szakmák szűnhetnek meg a ChatGPT miatt?
- ESET Research: Folytatják kibertámadásaikat az orosz hackercsoportok Ukrajna ellen
- ESET kiberbiztonsági trendek 2023: szép új hibrid világ
- Igen, a biztonsági fásultság létezik – az ESET szerint ezek a figyelmeztető jelei és a lehetséges megoldásai
- Több százezer eurós kárt szenvedtek el adatvédelmi incidensek miatt a kkv-k az ESET friss felmérése szerint
- Meghackelt mackó, kémkedő baba: hogyan szűrhetjük ki a nem biztonságos okosjátékokat ajándékvásárláskor?
- A FIFA labdarúgó-világbajnokságra a csalók is készülnek
- Nyerteseket hirdettek az ESET kiberbiztonsági kreatív pályázatán
- Iskolák is lehetnek a kiberbűnözők célpontjai?
- Az ESET mutat 7 módszert, amellyel biztonságosabbá tehetjük online jelenlétünket
Támogatott rovatok
Biztonságtechnika
Már a gyerekünk hangján követelnek tőlünk pénzt: hogyan kerülhetjük el, hogy csalók áldozatává váljunk?
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást és azt hallani, hogy a gyermeke segítségért kiált. Aztán az állítólagos “emberrabló” szól bele a telefonba, és váltságdíjat követel, ellenkező esetben soha többé nem láthatjuk a fiunkat vagy a lányunkat. Az ESET kiberbiztonsági szakértői szerint a csalók a jövőben egyre gyakoribbá váló telefonos átverések során a mesterséges intelligenciára támaszkodva súlyos érzelmi és anyagi károkat okozhatnak az áldozatoknak.
IT
A Philips Monitors E1 terméksorozat három új, többcélú modellel bővül
A Philips Monitors E1 sorozata ebben a hónapban három új modellel bővül. Az irodai felhasználók és távmunkában dolgozók számára szükséges összes alapvető funkcióval ellátott új modellek segítenek a felhasználóknak a kapcsolattartásban és növelik a termelékenységüket, mindezt versenyképes áron.
Digicam
Nikon: tükör nélküli videókészítő szett
A Nikon ma bemutatja a videó- és tartalomkészítők számára egyaránt megfelelő első tükör nélküli videókészítő szettjét – a Nikon Z 6 Essential Movie szettet. A készlet biztosítja az igazán lényeges összetevőket a gyors videófelvételhez, és az alapvető eszközöket a kiváló minőségű videók készítéséhez.
Infogazdaság
Fényes jövő vár idén az adatközponti szektorra
Saját átalakulási folyamaton megy keresztül az adatközpontok piaca, amely magába foglalja a legmodernebb technológiák használatát a műveletek és az erőforrások elosztásának optimalizálása, valamint a biztonsági protokollok javítása érdekében.
Pályázatok
Kreatív megoldásokkal építenének fenntartható jövőt a Zöld kód pályázat döntősei
Március 23-án rendezte meg a Vodafone Magyarország Alapítvány a Zöld Kód – Kódolj a holnapért! pályázat döntőjét. A legjobb ötletekkel érkezett csapatok közül a fiatalabb korosztályt egy Scratch-meccs várta, míg a nagyobbak szakmai mentorok segítségével valósíthatták meg a fenntarthatósági problémákra reflektáló robotötleteiket. A 6 millió forint összdíjazású pályázattal a Vodafone Magyarország Alapítvány célja, hogy a fiatalokat arra buzdítsa, gondolkodjanak és tegyenek azért, hogy a digitalizációt a fenntartható jövő szolgálatába állítsák.
Cikkgyűjtő
Legfrissebb híreink
Fényes jövő vár idén az adatközponti szektorra
A Philips Monitors E1 terméksorozat három új, többcélú modellel bővül
Országszerte elérhetővé válik a Netrevalók program
legfrissebb cikkei
legfrissebb programok
TrustViewer 2.12.0 Build 5189
A TrustViewer lehetővé teszi a számítógépek távoli elérését különféle karbantartási feladatok elvégzéséhez vagy műszaki segítség nyújtásához. A távoli számítógéphez való csatlakozáshoz elegendő egy egyedi, tizenkét számjegyű azonosítót megadni minden munkamenethez, és a kapcsolat azonnal létrejön.
Simple Sticky Notes 6.4.0.0
A hasznos programmal színes jegyzeteket hozhatunk létre az asztalon. Alapértelmezetten sárga a matrica, de a színt, a betűtípust, a stílust, a méretet tetszés szerint változtathatjuk, az előre meghatározott gyorsbillentyűket is lecserélhetjük, hogy jobban megfeleljen az igényeinknek.
GetWindowText 4.94
Ha szükségünk van egy Windows hibaüzenet szövegére, vagy egy bizonyos felugró ablak szöveges tartalmára, akkor nyugodtan támaszkodhatunk erre a programra. Átalakíthatjuk az ilyen jellegű üzeneteket szöveggé, amit egyszerűen átmásolhatunk a vágólapra.