ChatGPT,越來越刑!已有不法分子將其“打扮成”年輕女孩,放社交軟件上,引誘男性上鉤,進而實施詐騙。事實上,據Forbes最新消息,ChatGPT不法用途還不止於此。它不僅能編寫程序,監視鍵盤輸入信息,也能自己生成勒索軟件,甚至,還有人用其編寫暗網上毒品交易市場各種功能的代碼。
△ 面向中國市場,可能是個朋友圈裡的賣茶女孩
而對很多不擅長英語的異國黑客,ChatGPT也是協助生成英文釣魚網站絕佳從犯。
安全研究機構(如Check Point)已關註到ChatGPT被用於不法行徑的問題,引發很多網友熱議。
有人感慨:這還隻是開始。
也有人提議,要自己構建個ChatGPT聊天機器人,與詐騙聊天機器人嘮嘮,會發生什麼?
所以,ChatGPT是如何被“帶壞”的?
ChatGPT惡意打開方式有幾種?
ChatGPT在2022年11月剛發佈時,就有不少人預測,它可能被用於非法網絡犯罪。
甚至有人親自下場,試驗一下用ChatGPT如何觸碰網絡犯罪紅線。
從構建魚叉式網絡釣魚郵件,到運行能接受英語命令的反向shell,ChatGPT都能Hold住。
△ ChatGPT生成的釣魚郵件
值得明確的是,上述都停留在“假設”與“警告”中。
直到這兩天,IT安全公司Check Point表示,他們找到確切證據。通過對幾個主流地下黑客社區論壇的分析,調研者發現:
已有第一批網絡犯罪分子使用OpenAI開發惡意工具,他們中,甚至有人沒有代碼開發能力。
為證明所言不虛,調研者分享一些案例。
比如2022年12月29日的一篇帖子,它來自地下黑客論壇,名為《ChatGPT-作為惡意軟件的好處》。
帖子作者表示,他已經在嘗試用ChatGPT創建惡意軟件,隨文還分享出一段基於 Python 的竊取器的代碼。
該程序會搜索12種常見文件類型,比如Office文檔、PDF及圖片,當發現特定文件後,程序會將它們復制到Temp文件夾內,壓縮並上傳到FTP服務器。
網絡安全分析者還指出,該程序發送文件過程中並未加密,因此,第三方也可能獲得上述傳輸的文件。
該帖子作者還分享一段Java代碼,它將下載PuTTY。這是一個常見的SSH和telnet客戶端,惡意代碼將使用Powershell在系統中秘密運行它。通過修改腳本,能下載任何惡意軟件。
值得註意的是,這位發帖者是地下黑客論壇活躍分子,曾參與多個非法腳本開發,比如一個試圖通過網絡釣魚獲得用戶敏感信息的C++程序。他還分享過Android RAT和SpyNote的破解版。
網絡安全機構調研者認為,此人是個技術能手,這篇帖子是個教程,旨在向低開發能力的不法分子展示利用ChatGPT的方法及實例。
如果上述帖子是技術派帶壞ChatGPT的代表,下面一篇帖子,就是門外漢利用AI作惡的旁證。
這位名為USDoD的黑客發佈一個原創腳本,特意強調這是他創建的第一個腳本。下方有人指出該代碼很像AI生成代碼時,他也承認,OpenAI提供一個“好幫手”。
其功能是對單個文件加密,並將消息認證碼 (MAC)附在文件末尾,也能將硬編碼路徑加密,並解密參數文件列表。
盡管上述代碼可用於合法場景,但是,一旦部分腳本與語法問題加以調整,它就能變成一個勒索軟件。
該發帖者是一位技術不強的活躍分子,曾出售被盜數據庫訪問權,最近還共享過InfraGard數據庫。
相比生成腳本與代碼,更多不法分子專註於用ChatGPT從事更容易上手的非法交易。
一篇2022年12月31日的帖子討論——用ChatGPT在暗網創建非法商品市場有多容易。
內容中,涉及交易的物品包括被盜賬戶、銀行卡、惡意軟件,甚至毒品和槍械,付款方式以加密貨幣進行。
其他地下論壇中,也有相當一部分帖子討論如何利用ChatGPT進行詐騙的手法。
有網絡安全調研機構向媒體表示,已有詐騙者企圖利用ChatGPT創建聊天bot,模仿女孩聊天,用以低成本和受害男性聊天,博取他們信任,從而實施詐騙。
Check Point調研者補充道,盡管ChatGPT所生成的惡意軟件及代碼很基礎,不可能像此前攻破愛爾蘭衛生系統的Conti一樣精致,但其潛在危害在於降低新手違法的門檻。
他繼續補充,該門檻不僅針對技術,對於不擅長英語的各國黑客,ChatGPT也是生成合法釣魚郵件的“絕佳工具”。在釣魚郵件犯罪中,AI也可能被用於個性化生成內容。
值得一提的是,在地下黑客論壇,關於在灰色地帶靠ChatGPT獲利的討論內容也不少。有內容討論如何用AI快速創造網文、電子書並銷售獲利,另一部分內容討論用OpenAI另一個模型DALLE-2生成圖片並出售的操作。
關於上述威脅,也有人去問問ChatGPT的看法。
AI認為,這類現象並不罕見,並列出常見手法。
更值得註意的是,ChatGPT在結尾很“機智”、“公關”地替母公司給出一套辯護說辭:
值得註意的是,OpenAI本身並不對第三方濫用技術的行為負責,公司已采取相關措施防止技術被用於惡意目的,比如出臺條款要求用戶同意——禁止將其技術用於非法或有害活動。
最後問問,對濫用ChatGPT現象,你有解決方案麼?
參考鏈接:
[1]https://www.forbes.com/sites/thomasbrewster/2023/01/06/chatgpt-cybercriminal-malware-female-chatbots/?sh=1f13474c5534
[2]https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/