Киберпреступники начинают использовать ChatGPT для облегчения своей работы

Индустрия кибербезопасности уже видит доказательства использования ChatGPT преступниками. ChatGPT может быстро генерировать целевые фишинговые письма или вредоносный код для атак на вредоносное ПО.

Будь то написание эссе или анализ данных, ChatGPT может быть использован для облегчения работы человека. Это касается и киберпреступников.

Сергей Шукевича, ведущий исследователь ChatGPT в компании Checkpoint security, уже видел, как киберпреступники используют возможности ИИ для создания кода, который может быть использован в атаке на выкупное ПО.

Команда Шукевич начала изучать потенциал ИИ для киберпреступлений в декабре 2021 года. Используя большую языковую модель ИИ, они создали фишинговые письма и вредоносный код. Когда стало ясно, что ChatGPT может быть использован в незаконных целях, Шукевич рассказал Insider, что команда хотела проверить, являются ли их выводы «теоретическими» или они могут найти «плохих парней, использующих его в реальности». «

Поскольку трудно сказать, было ли вредоносное письмо, доставленное в почтовый ящик, написано с помощью ChatGPT, его команда обратилась к темной паутине, чтобы посмотреть, как используется это приложение.

21 декабря они нашли первое доказательство: киберпреступники использовали чат-бота для создания скрипта на языке python, который можно было использовать в атаке на вредоносное ПО В коде были некоторые ошибки, сказал Шукевич, но большая его часть была правильной.

«Интересно то, что ребята, разместившие его, никогда раньше ничего не разрабатывали», — сказал он.

Шукевич сказал, что ChatGPT и Codex, сервис OpenAI, который может писать код для разработчиков, «позволят менее опытным людям стать активными разработчиками».

Злоупотребление ChatGPT, на котором сейчас работает новый, уже вызывающий беспокойство чат-бот Bing, беспокоит экспертов по кибербезопасности, которые видят потенциал чат-ботов для помощи в фишинге, вредоносном ПО и хакерских атаках.

Джастин Фиер, директор по киберразведке и аналитике компании Darktrace, специализирующейся на кибербезопасности, рассказал Insider, что когда дело доходит до фишинговых атак, барьер для входа уже низок, но ChatGPT может упростить людям эффективное создание десятков целевых мошеннических писем, если они разработают хорошие подсказки.

«Для фишинга все дело в объеме — представьте себе 10 000 писем, очень целевых. И теперь вместо 100 положительных кликов у меня три или четыре тысячи», — сказал Фиер, говоря о гипотетическом количестве людей, которые могут нажать на фишинговое письмо, которое используется для того, чтобы заставить пользователей предоставить личную информацию, например, банковские пароли. «Это огромная цифра, и все дело в цели. «

Научно-фантастический фильм В начале февраля компания Blackberry, занимающаяся кибербезопасностью, опубликовала результаты опроса 1500 экспертов в области информационных технологий, 74% из которых заявили, что обеспокоены тем, что ChatGPT помогает киберпреступности.

Опрос также показал, что 71% считают, что ChatGPT уже может использоваться государственными государствами для атак на другие страны посредством хакерских и фишинговых попыток.

Все, что мы видели за последние 9-10 месяцев, мы видели только в Голливуде

«Уже давно доказано, что люди со злыми намерениями тестируют ChatGPT, но в течение этого года мы ожидаем, что хакеры получат гораздо больше информации о том, как успешно использовать ChatGPT в неблаговидных целях», — написал в пресс-релизе Шишир Сингх, главный технический директор по кибербезопасности BlackBerry.

Сингх рассказал Insider, что эти опасения вызваны быстрым развитием искусственного интеллекта за последний год. Эксперты заявили, что развитие больших языковых моделей, которые теперь лучше имитируют человеческую речь, происходит быстрее, чем ожидалось.

Сингх описал быстрые инновации как нечто из «научно-фантастического фильма». «

«Все, что мы видели за последние 9-10 месяцев, мы видели только в Голливуде», — сказал Сингх.

Активность киберпреступников может грозить ответственностью для OpenAI

Поскольку киберпреступники начинают добавлять в свой инструментарий такие вещи, как ChatGPT, эксперты, такие как бывший федеральный прокурор Эдвард МакЭндрю, задаются вопросом, будут ли компании нести определенную ответственность за эти преступления.

Например, МакЭндрю, который работал в Министерстве юстиции над расследованием киберпреступлений, отметил, что если ChatGPT или подобный ему чат-бот будет склонять кого-то к совершению киберпреступлений, это может повлечь за собой ответственность для компаний, способствующих созданию таких чат-ботов.

В случае противоправного или преступного контента на своих сайтах от сторонних пользователей большинство технологических компаний ссылаются на раздел 230 Закона о пристойности коммуникаций от 1996 года. В этом законе говорится, что провайдеры сайтов, позволяющих людям размещать контент, такие как Facebook или Twitter, не несут ответственности за речь на своих платформах.

Однако, поскольку речь исходит от самого чатбота, МакЭндрю сказал, что закон не может защитить OpenAI от гражданских исков или судебного преследования, хотя версии с открытым исходным кодом могут усложнить привязку киберпреступлений к OpenAI.

На этой неделе семья женщины, убитой террористами ИГИЛ в 2015 году, оспаривает в Верховном суде объем правовой защиты технологических компаний в соответствии с разделом 230. Семья утверждает, что Google должен нести ответственность за то, что его алгоритм продвигает экстремистские видео.

МакЭндрю также сказал, что ChatGPT может стать «кладезем информации» для тех, кому поручено собирать доказательства подобных преступлений, если они смогут вызывать в суд такие компании, как OpenAI.

«Это действительно интересные вопросы, которые еще не скоро решатся, — сказал МакЭндрю, — но, как мы видим, с момента появления Интернета преступники были одними из самых ранних пользователей. И мы снова видим это на примере многих инструментов ИИ». «

По словам МакЭндрю, перед лицом этих вопросов он видит политические дебаты о том, как США и мир в целом будут устанавливать параметры для ИИ и технологических компаний.

В ходе опроса Blackberry 95% ИТ-респондентов заявили, что правительства должны отвечать за создание и внедрение нормативных актов.

МакЭндрю сказал, что задача регулирования может быть сложной, поскольку нет ни одного агентства или уровня правительства, которому было бы поручено создавать мандаты для индустрии ИИ, и что проблема технологий ИИ выходит за пределы США.

«Нам придется создавать международные коалиции и международные нормы киберповедения, и я ожидаю, что на это уйдут десятилетия, если мы вообще сможем их разработать». «

Технология все еще не идеальна для киберпреступности

Одна из особенностей ChatGPT, которая может усложнить киберпреступления, заключается в том, что она известна своей уверенной ошибочностью, что может создать проблему для киберпреступника, пытающегося составить электронное письмо, предназначенное для имитации другого человека, рассказали эксперты Insider. В коде, который Шукевич и его коллеги обнаружили в темной паутине, ошибки требовали исправления, прежде чем он мог помочь в мошенничестве.

Кроме того, ChatGPT продолжает внедрять защитные барьеры для предотвращения незаконной деятельности, хотя эти барьеры часто можно обойти с помощью правильного скрипта. Шукевич отметил, что некоторые киберпреступники теперь используют API-модели ChatGPT в открытых версиях приложения, которые не имеют тех же ограничений по содержанию, что и веб-интерфейс.

Шукевич также отметил, что на данный момент ChatGPT не может помочь в создании сложных вредоносных программ или создании поддельных веб-сайтов, которые, например, выдаются за сайт известного банка.

Однако это может стать реальностью, поскольку гонка вооружений ИИ, созданная технологическими гигантами, может ускорить разработку более совершенных чат-ботов, сказал Шукевич в интервью Insider.

«Меня больше волнует будущее, и сейчас кажется, что будущее наступит не через 4-5 лет, а скорее через год или два», — сказал Шукевич.

Источник: BusinessInsider