ChatGPT,越來越刑了 !
已有不法分子将其 " 打扮成 " 年輕女孩,放社交軟件上,引誘男性上鈎,進而實施詐騙。
△ 面向中國市場,可能是個朋友圈裡的賣茶女孩
事實上,據 Forbes 最新消息,ChatGPT 不法用途還不止于此。
它不僅能編寫程序,監視鍵盤輸入信息,也能自己生成勒索軟件,甚至,還有人用其編寫暗網上毒品交易市場各種功能的代碼。而對很多不擅長英語的異國黑客,ChatGPT 也是協助生成英文釣魚網站絕佳從犯。
安全研究機構(如 Check Point)已關注到了 ChatGPT 被用于不法行徑的問題,引發很多網友熱議。
有人感慨:這還隻是開始。
也有人提議,要自己構建個 ChatGPT 聊天機器人,與詐騙聊天機器人唠唠,會發生什麼?
所以,ChatGPT 是如何被 " 帶壞 " 的?
ChatGPT 在 2022 年 11 月剛發布時,就有不少人預測,它可能被用于非法網絡犯罪。
甚至有人親自下場,試驗了一下用 ChatGPT 如何觸碰網絡犯罪紅線。
從構建魚叉式網絡釣魚郵件,到運行能接受英語命令的反向 shell,ChatGPT 都能 Hold 住。
△ ChatGPT 生成的釣魚郵件
值得明确的是,上述都停留在 " 假設 " 與 " 警告 " 中。
直到這兩天,IT 安全公司 Check Point 表示,他們找到了确切證據。通過對幾個主流地下黑客社區論壇的分析,調研者發現:
已有第一批網絡犯罪分子使用 OpenAI 開發惡意工具,他們中,甚至有人沒有代碼開發能力。
為證明所言不虛,調研者分享了一些案例。
比如 2022 年 12 月 29 日的一篇帖子,它來自地下黑客論壇,名為《ChatGPT- 作為惡意軟件的好處》。
帖子作者表示,他已經在嘗試用 ChatGPT 創建惡意軟件,随文還分享出一段基于 Python 的竊取器的代碼。
該程序會搜索 12 種常見文件類型,比如 Office 文檔、PDF 及圖片,當發現特定文件後,程序會将它們複制到 Temp 文件夾内,壓縮并上傳到 FTP 服務器。
網絡安全分析者還指出,該程序發送文件過程中并未加密,因此,第三方也可能獲得上述傳輸的文件。
值得注意的是,這位發帖者是地下黑客論壇活躍分子,曾參與多個非法腳本開發,比如一個試圖通過網絡釣魚獲得用戶敏感信息的 C++ 程序。他還分享過 Android RAT 和 SpyNote 的破解版。
網絡安全機構調研者認為,此人是個技術能手,這篇帖子是個教程,旨在向低開發能力的不法分子展示利用 ChatGPT 的方法及實例。
如果上述帖子是技術派帶壞 ChatGPT 的代表,下面一篇帖子,就是門外漢利用 AI 作惡的旁證。
這位名為 USDoD 的黑客發布了一個原創腳本,特意強調這是他創建的第一個腳本。下方有人指出該代碼很像 AI 生成代碼時,他也承認,OpenAI 提供了一個 " 好幫手 "。
其功能是對單個文件加密,并将消息認證碼 (MAC)附在文件末尾,也能将硬編碼路徑加密,并解密參數文件列表。
盡管上述代碼可用于合法場景,但是,一旦部分腳本與語法問題加以調整,它就能變成一個勒索軟件。
該發帖者是一位技術不強的活躍分子,曾出售被盜數據庫訪問權,最近還共享過 InfraGard 數據庫。
相比生成腳本與代碼,更多不法分子專注于用 ChatGPT 從事更容易上手的非法交易。
一篇 2022 年 12 月 31 日的帖子讨論了——用 ChatGPT 在暗網創建非法商品市場有多容易。
内容中,涉及交易的物品包括被盜賬戶、銀行卡、惡意軟件,甚至毒品和槍械,付款方式以加密貨币進行。
其他地下論壇中,也有相當一部分帖子讨論如何利用 ChatGPT 進行詐騙的手法。
有網絡安全調研機構向媒體表示,已有詐騙者企圖利用 ChatGPT 創建聊天 bot,模仿女孩聊天,用以低成本和受害男性聊天,博取他們信任,從而實施詐騙。
Check Point 調研者補充道,盡管 ChatGPT 所生成的惡意軟件及代碼很基礎,不可能像此前攻破愛爾蘭衛生系統的 Conti 一樣精緻,但其潛在危害在于降低了新手違法的門檻。
他繼續補充,該門檻不僅針對技術,對于不擅長英語的各國黑客,ChatGPT 也是生成合法釣魚郵件的 " 絕佳工具 "。在釣魚郵件犯罪中,AI 也可能被用于個性化生成内容。
值得一提的是,在地下黑客論壇,關于在灰色地帶靠 ChatGPT 獲利的讨論内容也不少。有内容讨論如何用 AI 快速創造網文、電子書并銷售獲利,另一部分内容讨論了用 OpenAI 另一個模型 DALLE-2 生成圖片并出售的操作。
關于上述威脅,也有人去問了問 ChatGPT 的看法。
AI 認為,這類現象并不罕見,并列出常見手法。
更值得注意的是,ChatGPT 在結尾很 " 機智 "、" 公關 " 地替母公司給出一套辯護說辭:
值得注意的是,OpenAI 本身并不對第三方濫用技術的行為負責,公司已采取了相關措施防止技術被用于惡意目的,比如出台條款要求用戶同意——禁止将其技術用于非法或有害活動。
最後問問,對濫用 ChatGPT 現象,你有解決方案麼?
參考鍊接:
[ 1 ] https://www.forbes.com/sites/thomasbrewster/2023/01/06/chatgpt-cybercriminal-malware-female-chatbots/?sh=1f13474c5534
[ 2 ] https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/
