整理 | 朱珂欣
出品 | CSDN(ID:CSDNnews)
7 月 13 日,惡意 AI 工具 WormGPT 橫空出世 ,借力自動生成一系列釣魚郵件,讓大家人心惶惶。
眼看一波未平,一波又起。
據(jù)安全分析平臺.NETenrich 報道,近日,一款名為 FraudGPT 的 AI 工具近期在暗網(wǎng)上流通,并被犯罪分子用于編寫網(wǎng)絡(luò)釣魚電子郵件和開發(fā)惡意軟件。
基于 GPT-3 ,功能強、威脅大、操作簡單
眾所周知,傳統(tǒng)黑客工具需要使用者具備相應(yīng)的編程能力,才能更好地執(zhí)行網(wǎng)絡(luò)攻擊。
相較之下, FraudGPT 顯得更簡單、直接、高效,也「更具威脅性」。
無論是專業(yè)開發(fā)人員或小白,只需 通過簡單問答的方式就能實現(xiàn)黑客攻擊。
Netenrich 表示,F(xiàn)raudGPT 的運作方式是通過草擬一封電子郵件,以高度可信的方式誘使收件人單擊所提供的惡意鏈接。它的主要功能包括 :
創(chuàng)建釣魚網(wǎng)站頁面 。FraudGPT 可以生成看似真實的網(wǎng)絡(luò)釣魚電子郵件、短信或網(wǎng)站,誘騙用戶泄露敏感信息,例如登錄憑據(jù)、財務(wù)詳細(xì)信息或個人數(shù)據(jù); 找到最容易受害的目標(biāo) 。聊天機器人可以模仿人類對話,與毫無戒心的用戶建立信任,導(dǎo)致他們在不知不覺中泄露敏感信息或執(zhí)行有害操作; 創(chuàng)建無法檢測的惡意軟件。 FraudGPT 可以創(chuàng)建欺騙性消息,引誘用戶點擊惡意鏈接或下載有害附件,導(dǎo)致其設(shè)備感染惡意軟件; 編寫欺詐的短信、郵件。 人工智能驅(qū)動的聊天機器人可以幫助黑客創(chuàng)建欺詐性文件、發(fā)票或付款請求,導(dǎo)致個人和企業(yè)成為金融詐騙的受害者。據(jù)悉,F(xiàn)raudGPT 是由名為 "CanadianKingpin" 的開發(fā)者提供。
它主要基于 GPT-3 的大型語言模型,在經(jīng)過訓(xùn)練后,可以生成合乎邏輯且與事實相符的欺詐性文本。一旦犯罪分子付費購買,F(xiàn)raudGPT 便可以幫助他們成功進行網(wǎng)絡(luò)釣魚和詐騙。
風(fēng)靡暗網(wǎng),定價 200 美元/月
事實上, AI 工具降低了網(wǎng)絡(luò)犯罪分子的進入門檻, FraudGPT 已經(jīng)不是第一起案例。
即便 Claude、ChatGPT 、Bard 等 AI 提供商會采取一些措施來防止他們的技術(shù)被用于不良目的,但隨著開源模型的崛起,犯罪分子的惡意行為很難被遏制。
7 月初,基于開源大語言模型 GPT-J 開發(fā)而成,并且使用大量惡意代碼進行訓(xùn)練和微調(diào)的「WormGPT」 也曾引發(fā)關(guān)注。
據(jù)悉,WormGPT 擅長使用 Python/ target=_blank class=infotextkey>Python 代碼執(zhí)行各種網(wǎng)絡(luò)攻擊,例如,生成木馬、惡意鏈接、模仿網(wǎng)站等。
但相比之下,除了 FraudGPT 的功能更強大,價格也遠超于每月收費 60 歐元的 WormGPT, 每月訂閱價格高達 200 美元,是 ChatGPT Plus 價格的 10 倍。
如果購買三個或六個月的訂閱可以獲得折扣,購買一年的訪問權(quán)限需要 1700 美元。
目前,F(xiàn)raudGPT 已經(jīng)風(fēng)靡多個地下暗網(wǎng)市場,例如 WHM、Empire、AlphaBay、World、Versus 和 Torrez, 累計達 3000 多筆交易。
當(dāng)犯罪門檻降低,用戶如何防范?
毋庸置疑,無論是 WormGPT ,還是 FraudGPT ,這類極具威脅性的 AI 工具,都在為促進網(wǎng)絡(luò)犯罪和詐騙「賦能」。
安全分析平臺 Netenrich 曾表示:“ 這項技術(shù)會降低網(wǎng)絡(luò)釣魚電子郵件和其他詐騙的門檻。隨著時間的推移,犯罪分子將找到更多方法來利用我們發(fā)明的工具來增強他們的犯罪能力。”
當(dāng) AI 工具的邪惡面被淋漓盡致的展現(xiàn),再加之網(wǎng)絡(luò)攻擊「低門檻」,加強防御策略顯得尤為重要。
為此,印度《經(jīng)濟時報》針對個人和企業(yè),提出了一些可采取的關(guān)鍵措施,以確保免受 FraudGPT 和類似 AI 工具威脅的影響。
對在線通信保持警惕。 不要亂點擊陌生的網(wǎng)站鏈接、郵件,安裝未知的軟件。 同時,針對需要驗證、涉及敏感信息、金融交易的意外電子郵件,應(yīng)通過官方渠道加以驗證。 及時了解網(wǎng)絡(luò)安全措施。 定期更新安全軟件、安裝補丁并使用信譽良好的防病毒程序來防范潛在威脅。 同時,也需要了解最新的網(wǎng)絡(luò)安全實踐,增強網(wǎng)絡(luò)攻擊的防御意識。 警惕未知的鏈接和附件。 不要點擊未知來源的鏈接或打開附件。 FraudGPT 可以生成指向網(wǎng)絡(luò)釣魚網(wǎng)站的逼真 URL,因此,在點擊任何鏈接之前驗證發(fā)件人的身份至關(guān)重要。參考鏈接:
https://netenrich.com/blog/fraudgpt-the-villain-avatar-of-chatgpt
