Lucie MudrákováChatGPT oficiálně spatřil světlo internetu v listopadu 2022 a od svého spuštění má na svém kontě přes 100 milionů uživatelů. Ani ne půl roku starý chatbot již plní média různými příběhy. Od těch super vizionářských, které předznamenávají nový věk internetu, až po ty těžko uvěřitelné a pro mnohé lidi znepokojivé, které například zvěstují konec lidské práce tak, jak jsme ji doposud znali.
Jedno je jisté. Ať už se naplní jakýkoli scénář kolem chatbota ChatGPT, který se pro řadu z nás stal synonymem k umělé inteligenci, lidsky znějící text, který dokáže napsat, je již nyní příležitostí pro celou řadu uživatelů. A to i těch, kteří nemají zrovna dobré úmysly. Ve špatných rukou by mohl být výkonný chatbot (nyní zabudovaný i do vyhledávače Bing od společnosti Microsoft) a jemu podobné technologie zneužity podvodníky, a tak v konečném důsledku napomoci „demokratizaci“ kybernetické kriminality pro masy lidí. Tím, že poskytuje poměrně levný a automatizovaný způsob vytváření podvodných kampaní, by mohl být začátkem nové vlny přesvědčivějších phishingových útoků.
Co je to phishing?
Phishing je typ kybernetického útoku pomocí technik sociálního inženýrství, kdy se útočník snaží získat důvěrná data oběti nebo spustit na zařízení oběti škodlivý kód. Nejčastěji probíhá phishingový útok pomocí podvodného e-mailu s žádostí o informace k naší platební kartě nebo přihlašovací údaje do našeho internetového bankovnictví. Výjimkou ale není ani v chatovacích aplikacích a na sociálních sítích. Více informací najdete v našem slovníku.
Jak mohou kyberzločinci využít ChatGPT
ChatGPT je založen na rodině „velkých jazykových modelů“ GPT-3.5 a GPT-4 společnosti OpenAI. Jako takový byl pečlivě připraven na to, aby komunikoval s uživateli konverzačním tónem a mnohé z nás už ohromil svými autentickými a přirozenými odpověďmi.
Společnost OpenAI sice do produktu zabudovala ochranná opatření, která mají zabránit jeho používání k nekalým účelům, nezdá se ale, že by byla vždy účinná nebo důsledná. Existuje několik případů, například požadavek na napsání zprávy s žádostí o finanční pomoc při útěku z Ukrajiny. Ta byla nástrojem označena jako podvod a odmítnuta. Samostatná žádost o pomoc při psaní falešného e-mailu informujícího příjemce o výhře v loterii však dostala zelenou.
Chatbota ChatGPT jsme se sami na pravdivost jeho sdělení zeptali:
Kyberzločinci již byli také několikrát přímo přistiženi při zneužití tohoto nástroje. ChatGPT zkrátka skýtá možnost provádět rozsáhlé, přesvědčivé, bezchybné, a dokonce cílené kybernetické útoky a podvody, například prostřednictvím stále oblíbených e-mailů, a to s dostupností pro mnohem více lidí než kdykoli předtím.
Co to pro nás nyní znamená? Že bychom se všichni měli zlepšit v rozpoznávání varovných signálů online phishingových podvodů a připravit se na potenciální nárůst podvodné a škodlivé komunikace. Podvodný e-mail bude s největší pravděpodobností vykazovat následující znaky, na které se teď podíváme blíž.
Nevyžádaný kontakt
Phishingové zprávy se obvykle objevují z ničeho nic. Toto kritérium splňují také obchodní a marketingové zprávy, když vám však do schránky přijde nevyžádaný e-mail, který se vydává za zprávu od banky nebo jiné organizace, měli byste být ve střehu. Obzvlášť to platí v případě, že e-mail obsahuje odkaz nebo přílohu.
Odkazy a přílohy
Jednou z klasických metod, které podvodníci používají k dosažení svých cílů, je vkládání škodlivých odkazů nebo připojování škodlivých souborů do zpráv. Ty mohou do vašeho zařízení skrytě nainstalovat škodlivý software. Odkazy vás mohou také přivést na podvodnou stránku, kde budete vyzváni k vyplnění osobních údajů. Vyvarujte se klikání na odkazy, stahování souborů nebo otevírání příloh ve zprávách, i když vypadají, že přišly ze známého, důvěryhodného zdroje. V takovém případě je vždy vhodnější si zprávu a její opravdovost u odesílatele ověřit.
Žádosti o sdělení osobních a bankovních údajů
Jaký je konečný cíl phishingového útoku? Někdy je to přesvědčit příjemce, aby si do svého počítače nevědomky nainstaloval škodlivý kód. Ve většině ostatních případů je však cílem vylákat z něj osobní údaje. Ty jsou obvykle prodávány na dark webovém tržišti a následně využity za účelem krádeže identity a podvodu. Může jít například o žádost o uzavření nového úvěru na vaše jméno nebo o platbu z vaší platební karty.
Taktika nátlaku
Podstatou phishingu je technika známá jako sociální inženýrství, což je v podstatě umění přimět ostatní lidi, aby udělali to, co chcete, pomocí přesvědčování a využívání lidských emocí. Vytváření pocitu naléhavosti je klasickou taktikou sociálního inženýrství – útočník sdělí oběti, že má pouze omezený čas na odpověď, v opačném případě bude muset zaplatit peníze nebo přijde o možnost něco vyhrát.
Něco „zdarma“
Pokud něco vypadá příliš dobře na to, aby to byla pravda, obvykle to platí. Přesto to lidem nebrání v tom, aby naletěli na neexistující nabídky zdarma. Klasickým příkladem jsou velkorysé „dárky“ nabízené výměnou za účast v průzkumech, v nichž musíte předat osobní nebo finanční údaje. Netřeba dodávat, že oběť nikdy nedostane svůj iPhone, dárkovou kartu, peníze ani žádný jiný slíbený předmět.
Nesoulad v zobrazované a skutečné adrese odesílatele
Podvodníci se často snaží, aby jejich e-mailová adresa vypadala jako skutečná. Po najetí myší či poklepání na účet/doménu odesílatele se často zobrazí skutečná e-mailová adresa, ze které byl e-mail odeslán. Pokud se tyto dvě adresy neshodují nebo pokud je ta základní, skutečná adresa jen dlouhou kombinací náhodných znaků, je velká pravděpodobnost, že se jedná o podvod.
Neznámé nebo obecné pozdravy
Útočníci se snaží vydávat za osoby z legitimních organizací a vybudovat si tak u svých obětí důvěru. Nemusí však vždy vědět, jaký tón v e-mailové zprávě použít. Pokud jste zvyklí, že vás společnost oslovuje křestním jménem, ale pak uvidíte e-mail, který je formálnější, mělo by to ve vás vyvolat podezření, a naopak. Žádná legitimní banka ani jiná organizace vám nepošle e-mail z adresy, která končí na @gmail.com.
Zneužívání aktuálních událostí nebo mimořádných situací
Další klasickou technikou sociálního inženýrství je zneužívání populárních zpravodajských událostí nebo mimořádných událostí s cílem přesvědčit příjemce zpráv, aby klikli. To je důvod, proč během pandemie koronaviru prudce vzrostl počet phishingových e-mailů a také proč se tak rozmohly charitativní podvody krátce poté, co Rusko napadlo Ukrajinu. K e-mailovým zprávám, které se odvolávají na aktuální události, buďte vždy skeptičtí.
Neobvyklé požadavky
Stejně tak si dávejte pozor na e-maily a zprávy, ve kterých odesílatel vznáší neobvyklé požadavky. Může to být například vaše banka, která vás e-mailem nebo textovou zprávou žádá o potvrzení osobních a finančních údajů, což skutečná banka nikdy neudělá. Každý e-mail, který začíná slovy „Vážený zákazníku“ nebo „Vážená [e-mailová adresa]“, by vás měl varovat.
Žádost o peníze
Některé podvody jsou ještě přímočařejší a jejich cílem je rovnou získat peníze. Je samozřejmé, že byste nikdy neměli souhlasit s předáním peněz někomu, kdo vám zašle nevyžádanou zprávu. A to ani v případě, že to má být údajný „poplatek“ za uvolnění zásilky nebo peněžní výhra.
Gramatické chyby mohou být díky nástrojům, jako je ChatGPT, minulostí. Teprve čas však ukáže, nakolik se chatbotu ChatGPT podaří popasovat s češtinou a zprávy napsat tak, aby je neprozradil strojový překlad. Existuje naštěstí celá řada dalších varovných signálů, které nás na možné podvody upozorní.
Věnujte sdělení nejen v e-mailu, ale také v chatovacích aplikacích, na sociálních sítích nebo v SMS zprávách dostatek času a vždy se zamyslete nad tím, proč vám daná osoba zrovna něco takového posílá. Je také poměrně snadné si pravdivost zprávy u přátel nebo na oficiální zákaznické lince ověřit. Bezpečnostní software pak pro vás bude i v případě phishingu pojistkou před nebezpečnými webovými stránkami a ochrání vás před malwarem.
Tereza Malkusová
