Zapraszam do lektury wybranych newsów ze świata cyberbezpieczeństwa.
Ciemna strona ChatGPT
ChatGPT udostępniony przez OpenAI jest prototypowym chatbotem napędzanym przez AI (Sztuczną Inteligencję), zaprojektowanym do pomocy w szerokim zakresie przypadków użycia, w tym rozwoju kodu i debugowania. Jedną z jego głównych atrakcji jest możliwość interakcji użytkowników z chatbotem w sposób konwersacyjny i uzyskanie pomocy we wszystkim, od pisania oprogramowania do zrozumienia złożonych tematów, pisania esejów i e-maili, poprawy obsługi klienta i testowania różnych scenariuszy biznesowych lub rynkowych.
Mainstreamowe media podają informacje o pladze wypracowań pisanych przez ChatGPT, która dotknęła amerykańskie szkoły średnie i uniwersytety. Wykładowcom i nauczycielom jeszcze udaje się rozpoznawać próby oszustwa, ale w miarę jak ChatGPT będzie się stale uczył, niedoskonałości w jego pracy będą coraz mniej widoczne w uczniowskich wypracowaniach. Z drugiej strony trwają już zaawansowane prace nad opracowaniem "antidotum" na tego rodzaju oszustwa. Z racji tego, że "polski" ChatGPT nie był na starcie tak załadowany materiałami źródłowymi jak to miało miejsce w przypadku wersji angielskojęzycznej to wszystko jeszcze przed nami.
ChatGPT udostępniony przez OpenAI pod koniec listopada z marszu znalazł zwolenników i przeciwników. Do tych drugich można zaliczyć ekspertów ds. bezpieczeństwa, którzy w momencie uruchomienia chatbota, między innymi podnosili kwestię wykorzystania ChatGPT przez cyberprzestępców do pisania złośliwego oprogramowania. Wielu z nich pomyliło się w przewidywaniach, bo zakładali, że stanie to się po około pół roku od udostępnienia chatbot ChatGPT. Cyberprzestępcy potrzebowali zaledwie kilka tygodni na wykorzystanie potencjału drzemiącego w AI.
Dzięki sztucznej inteligencji nie trzeba być ekspertem od pisania skryptów, żeby wygenerować, chociażby skrypt w języku Python do szyfrowania i deszyfrowania danych przy użyciu algorytmów kryptograficznych Blowfish i Twofish. Takim skryptem pochwalił się użytkownik o pseudonimie USDoD na jednym z forów. W ocenie ekspertów ten kod mógł być wykorzystany do legalnych celów, ale po podrasowaniu przez zdolniejszego hackera mógł uruchamiać się w systemie bez żadnej interakcji użytkownika — czyniąc z niego w tym procesie ransomware.
Eksperci z Check Point Research (CPR) trafili na cyberprzestępcę, który opisywał, "jak wykorzystał ChatGPT do stworzenia całkowicie zautomatyzowanego rynku Dark Web do handlu skradzionymi danymi kont bankowych i kart płatniczych, narzędziami złośliwego oprogramowania, narkotykami, amunicją i wieloma innymi nielegalnymi towarami". To są dwa z wielu przykładów, którymi użytkownicy pochwalili się na forach.
Duże zaainteresowanie ChatGPT wykazują rosyjscy hakerzy, na forach Darkwebu, poszukują i wymieniają się informacjami jak obejść ograniczenia API OpenAI, aby uzyskać dostęp do chatbota ChatGPT. Ogólnie rzecz biorąc, w rosyjskich półlegalnych usługach SMS online jest wiele tutoriali na temat tego, jak wykorzystać je do rejestracji na ChatGPT, są przykłady, że jest to już wykorzystywane."
OpenAI i inni twórcy podobnych narzędzi wprowadzili filtry i kontrole, które stale ulepszają, aby spróbować ograniczyć niewłaściwe wykorzystanie swoich technologii. Ale jak na razie AI wydaje się być krok przed nimi.
Korzystałem z: LINK1; LINK2; LINK3
Okazje w związku z premierą "The Last Of Us"
W ostatnich dniach gorącym tematem jest premiera serialu HBO "The Last Of Us" opartego na hitowej grze wideo (w Polsce 16 stycznia). Taka okazja nie mogła zostać niezauważona przez cyberprzestępców, szczególnie że twórcy serialu zapowiedzieli na marzec komputerową wersję gry. W związku z tym wymyślili kilka nowych oszustw mających na celu kradzież danych finansowych i zainfekowanie podatnych komputerów złośliwym oprogramowaniem.
Badacze firmy Kaspersky znaleźli stronę, która oferuje pobranie gry "The Last of Us Part II" na PC. Użytkownicy, którzy spróbują, zamiast prawdziwej gry pobiorą szkodliwy plik. Złośliwy plik może ukrywać się na komputerach ofiar niewykryty przez lata. Użytkownicy nie będą wiedzieli, że coś jest nie tak, ponieważ może nie wyrządzić żadnej widocznej szkody, podczas gdy po cichu wykonuje swoją pracę.
Innym sposobem cyberprzestępców jest strona, która oferuje kod aktywacyjny dla gry "The Last of Us" na PlayStation. Aby pobrać plik z kodem, użytkownicy są proszeni o wybranie jednego z "prezentów", które otrzymają wraz z grą, na przykład nowiutkiego PlayStation 5 lub karty upominkowej o wartości 100 dolarów. Szczęśliwcy są proszeni "tylko" o podanie swoich danych uwierzytelniających i danych karty bankowej w celu uiszczenia opłaty prowizyjnej. Warto być czujnym, bo w życiu nic nie ma za darmo.
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.
Do grafiki tytułowej wykorzystałem pracę Gerd Altmann z Pixabay
The rewards earned on this comment will go directly to the people( @polish.hive ) sharing the post on Twitter as long as they are registered with @poshtoken. Sign up at https://hiveposh.com.