אזהרה למשתמשי «ChatGPT»: הודעות מזויפות דרך «OpenAI»

סאדא ניוז - מומחי אבטחת סייבר הזהירו את משתמשי «צ'אט ג'י פי טי» (ChatGPT) ופלטפורמות אחרות של «אופן איי» משיטה חדשה של הונאה המנוגדת למנגנון שליחת ההזמנות בתוך הפלטפורמה, מה שהופך הודעות הונאה להיראות כאילו נשלחו רשמית מ«אופן איי».

על פי מעקב עדכני שביצעה חברת «קاسפרסקי», גילו החוקרים שלה שהתקפות פגיעים משמשים לרעה את התכונה של יצירת «מוסדות» והזמנת חברי הצוות בפלטפורת «אופן איי» לשליחת הודעות הונאה מכתובת דוא"ל אמיתית המתקיימת לחברה עצמה. מצב זה מעניק להודעות Credibility גבוהה טכנית ומגדיל את הסיכויים שלהן לעבור את מסנני דואר הזבל וזכות האמון של המקבלים.

שיטה זו אינה תלויה בהכנסת בתוכנת «אופן איי», אלא על מניפולציה בתכונות חוקיות שנוצרו במקור כדי להקל על שיתוף פעולה ועבודה קבוצתית, ולאחר מכן להפוך אותם לכלי להנדסה חברתית.

איך עובדת ההונאה?

הعملية מתחילה ביצירת חשבון רגיל בפלטפורמת «אופן איי». בזמן הרישום, מתבקשת המשתמש ליצור «מוסד» ולציין שם עבורו. שדה זה מיועד בדרך כלל לשם חברה או צוות, אך הוא מאפשר הכנסה של סמלים וטקסטים מגוונים.

הנוכלים מנצלים את הגמישות הזו כדי להכניס משפטים מטעה היישר לשם המוסד, כמו הודעות אזהרה או הצעות מזויפות, ולעיתים מספרי טלפון או קישורים חשודים. לאחר יצירת המוסד, הפלטפורמה מציעה את שלב «הזמן את הצוות שלך», שבו הכפתורים מכניסים את כתובות הדוא"ל של הקורבנות המיועדים.

בעת שליחת ההזמנות, ההודעות מגיעות מכתובות רשמיות של «אופן איי» ומופיעות למקבל כהודעה אמיתית להצטרף לפרויקט או צוות עבודה. הדוא"ל מכיל את התבנית הרגילה של הזמנות לשיתוף פעולה, אך הטקסט ההונאי שהכניסו התוקפים מופיע בצורה בולטת בתוך ההודעה. הנוכלים מהמרים על כך שהרבה מהמשתמשים יתמקדו בכתובת המהימנה ובהודעה המטעה, מבלי לשים לב לחוסר ההגיון בתוכן או הסיבה לכך שהם קיבלו הזמנה למוסד לא מוכר.

סוגי הודעות ההונאה

«קאספרסקי» זיהתה מספר סוגים של הודעות שעברו בדרך זו. חלקן מקדמות שירותים או הצעות הונאה, בעוד אחרות נוטות להיות מסוכנות יותר. אחת השיטות הנפוצות היא שליחת הודעות שקריות המודיעות על חידוש מנוי גבוה בעולה. ההודעה מבקשת מהקורבן ליצור קשר עם מספר טלפון מוסף «כדי לבטל את העסקה». סוג זה של התקפות ידוע כ«פישינג קולי» (Vishing), שבו הנוכלים מנסים במהלך השיחה לשכנע את הקורבן לחשוף נתונים אישיים או פיננסיים, או לבצע צעדים שמובילים לפגיעות נוספות. ובכל המקרים, המטרה נשארת לדחוף את המקבל לפעול במהירות, בין אם על ידי לחיצה על קישור או ביצוע שיחה לפני שהוא בודק את אמיתות ההודעה.

מדוע ההודעות נראות משכנעות?

סכנת השיטה הזו היא שההודעות אינן מזויפות בדרך המסורתית. הן נשלחות דרך ערוצים רשמיים ויוצאות מתוך מבנה דואר מהימן של הפלטפורמה. לכן, נעלם הרבה מהאינדיקציות האזהרות הרגילות, כמו כתובות השולח החשודות. אף על פי שהתוכן של ההודעה לעיתים קרובות לא תואם את תבנית «הזמנה לשיתוף פעולה», סתירה זו עשויה לא להיות ברורה לכולם, במיוחד לאלה שאינם מצפים לכך שפלטפורמה מהימנה תוסלף כך. ואנשי אבטחה רואים במצב זה אור אדום על בעיה רחבה יותר. גם שירותים עם מוניטין טוב יכולים להפוך לכלים בידי הנוכלים אם מנצלים את תכונותיהם לרעה.

מה עליך לעשות?

לגבי משתמשי «צ'אט ג'י פי טי» ולפלטפורמות «אופן איי» בכלל, הקמפיין הזה משמש תזכורת לחשיבות זהירות, גם כאשר מקבלים הודעות שנראות רשמיות. המומחים ממליצים להתייחס לכל הזמנה בלתי צפויה בכמיהה, במיוחד אם היא כוללת שפה של דחיפות או דרישות כלכליות או מספרי טלפון. בנוסף, ניתן להעדיף הימנע מלחץ על הקישורים המצורפים או להתקשר למספרים המוזכרים בהודעות חשודות. ואם יש צורך אמיתי להתקשר עם התמיכה, עדיף לבקר באתר הרשמי של השירות ולחפש את נתוני הקשר שם.

בנוסף, דיווח על הודעות חשודות לפלטפורמה מסייע במניעת התפשטותן, בעוד שהפעלת אימות דו-שלבי היא צעד חשוב לחיזוק הביטחון, גם אם סוג זה של הונאה אינו מתבסס באופן ישיר על פריצה לחשבונות. אף על פי שהקמפיין הזה מתמקד באנשים, הוא מתעורר גם שאלות רחבות יותר בפני חברות המנהלות פלטפורמות שיתופיות. הכלים שנועדו להקל על ההצטרפות ועבודה קבוצתית עשויים להפוך לנקודות חולשה אם לא ישמרו או יפקחו באופן מספק.