„Zła” sztuczna inteligencja mnoży się jak szalona. Podszyje się, oszuka, okradnie

Szybko rośnie liczba złośliwych botów i umiejętność cyberprzestępców maskowania swojej działalności

Szybko rośnie liczba złośliwych botów i umiejętność cyberprzestępców maskowania swojej działalności

Foto: AdobeStock

Paweł Rożyński

Tak jak pracownicy używają ChatGPT do ulepszania e-maili, tak hakerzy używają „złych” wersji chatbotów AI, aby zwiększyć swoją siłę rażenia. W najciemniejszych zakątkach sieci pojawiła się cała grupa botów o takich nazwach, jak BadGPT, WormGPT czy FraudGPT, a przestępcy wykorzystują w nich tę samą lub podobną sztuczną inteligencję, która stoi za ChatGPT firmy OpenAI.

Zdenerwowany szef, zrozpaczona matka

Przestępcy mogą używać chatbotów – niektórych również dostępnych bezpłatnie w otwartym internecie – do tworzenia fałszywych witryn internetowych, pisania złośliwego oprogramowania i dostosowywania wiadomości tak, aby lepiej podszywać się pod kadrę kierowniczą i inne zaufane osoby. Są na tyle zaawansowane, że potrafią naśladować ludzkie zachowania, co umożliwia omijanie zabezpieczeń typu Captcha (polegają na konieczności wyboru właściwych zdjęć, by potwierdzić, że jest się człowiekiem, a nie botem). Nie mają przy tym żadnych hamulców etycznych jak, ChatGPT czy Bard, a często powstały jeszcze przed nimi. To choćby WormGPT stworzony na zasadach open source przez EleutherAI.

Z takich narzędzi mogą korzystać, po uiszczeniu opłaty, nawet początkujący przestępcy. Ceny usług hakerskich AI, za które często płaci się w kryptowalutach, wahają się od 5 do 200 dol. miesięcznie. – Dla hakerów zaletą narzędzi darknetu, takich jak BadGPT – które według badaczy wykorzystuje model GPT OpenAI – jest to, że są szkolone w oparciu o skradzione dane. Zawierają przydatne informacje, takie jak wycieki, listy ofiar oprogramowania ransomware i wymuszeń – mówi Joseph Thacker, etyczny haker i główny inżynier sztucznej inteligencji w firmie AppOmni zajmującej się oprogramowaniem na potrzeby cyberbezpieczeństwa.

Ofiarą może być każdy. Na początku tego roku pracownik firmy z Hongkongu przekazał 25,5 mln dol. oszustowi, który podał się za jej dyrektora finansowego podczas fałszywej telekonferencji generowanej przez sztuczną inteligencję. Z kolei w amerykańskim stanie Arizona próbowano uzyskać milion dolarów okupu od matki dziewczyny, której głos niemal idealnie sklonowano.

Znacznie częściej jednak sztuczną inteligencję wykorzystuje się do ataków mailowych, zwanych spear-phishingiem, podczas których cyberprzestępcy wykorzystują informacje o osobie, aby nadać e-mailowi wrażenie bardziej uzasadnionego i autentycznego. O ile wcześniej wiele oszustw można było łatwo wykryć z powodu błędów gramatycznych czy ortograficznych w e-mailach, teraz boty oferują przestępcom zdolność do naśladowania określonego stylu pisania czy wypowiedzi. Można do tego wykorzystać nie tylko przestępcze boty, ale także ChatGPT, łamiąc jego zabezpieczenia. Większość narzędzi hakerskich korzysta jednak z wersji AI typu open source, takich jak Meta.

sztucznaJason Clinton, dyrektor ds. bezpieczeństwa informacji w firmie zajmującej się sztuczną inteligencją Anthropic, powiedział „The Wall Street Journal”, że już teraz eliminuje liczne ataki, określane jako „jailbreak” (omijające ograniczenia różnymi kreatywnymi sposobami), w momencie ich wykrycia i dysponuje całym zespołem monitorującym działanie systemów sztucznej inteligencji. Większość twórców modeli AI wdraża również dodatkowo dwa oddzielne modele, aby zabezpieczyć ten podstawowy, przez co prawdopodobieństwo, że wszystkie trzy zawiodą w ten sam sposób, jest znikome.

Coraz więcej zagrożeń

Eksperci ostrzegają przed wzrostem aktywności złośliwych botów. W 2022 r. było ich o przeszło 150 proc. więcej niż rok wcześniej, w ub.r. zaś skok sięgał prawie 170 proc. Z kolei według raportu firmy SlashNext z października 2023 r. liczba e-maili phishingowych wzrosła o 1265 proc. w okresie 12 miesięcy, począwszy od publicznego udostępnienia ChatGPT. W efekcie już co trzeci bot w sieci stanowi zagrożenie. Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce, twierdzi, iż w związku z tak szybkim rozwojem tego zagrożenia firmy powinny pilnie zweryfikować swoje strategie dotyczące bezpieczeństwa.

– Społeczność hakerska nas wyprzedziła – potwierdza Brian Miller, dyrektor w nowojorskiej firmie ubezpieczeniowej Healthfirst, która odnotowała wzrost liczby ataków podszywających się pod wystawców faktur w ciągu ostatnich dwóch lat.

Jak się skutecznie chronić? Coraz popularniejsze stają się rozwiązania ochronne bazujące na weryfikacji biometrycznej, jak m.in. analiza ruchu myszy. Pozwalają one na weryfikowanie interakcji podejmowanych w sieci. I choć boty potrafią modyfikować aktywność, aby przypominała ludzką, weryfikacja biometryczna na razie jest skuteczną metodą identyfikacji internetowych robotów.

Eksperci ds. cyberbezpieczeństwa, cytowani przez „WSJ”, nie są jednak optymistami. – Oczekuje się, że nowe narzędzia będą coraz lepsze, podobnie jak modele sztucznej inteligencji, które je obsługują. Za kilka lat generowane przez sztuczną inteligencję głębokie fałszywe teksty, wideo i głos będą praktycznie nie do odróżnienia od ich ludzkich odpowiedników – uważa Evan Reiser, dyrektor generalny i współzałożyciel Abnormal Security.

Źródło

No votes yet.
Please wait...

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *