【詐騙神器】20萬個OpenAI用家記錄暗網出售 暗黑版ChatGPT成BEC工具

    自從去年 OpenAI 推出 ChatGPT 測試版引起風潮,相關的 AI 工具亦蜂擁推出,吸引不少企業及用家使用。不過,多間網絡安全相繼發表安全報告,指黑客看準這些工具的潛力,從兩個方向濫用生成式 AI,當中包括出售 OpenAI 帳號及用家使用記錄,以及發展出名為 WormGPT 的暗黑版 ChatGPT,大大降低商業詐騙電郵的入行門檻。

    生成式 AI 帶起的熱潮已引發過不同的網絡安全問題,例如有用家發現 ChatGPT 竟顯示了其他用家的對話記錄,亦有專家表示擔心企業員工將含機密資料的內容隨意貼上輸入聊天機械人,會觸發數據外洩大災難等。而隨著生成式 AI 服務越來越多,多個平台亦開始收費,令貪新鮮的用家開始搜尋其他「免費」版本,同樣令黑客有機可乘。

    ChatGPT 帳戶有價有市

    網絡安全公司 Flare 便分析了地下討論區及暗網交易平台,發現這些工具的帳戶有價有市,例如有黑客出售超過 10 萬個 ChatGPT 帳戶,登入者可閱讀有關的查詢記錄,另外亦有超過 20 萬個 OpenAI 帳號的記錄被販賣,雖然以 OpenAI 約 1 億用家來說只是微不足道,但已顯示黑客利用 AI 的興趣正日益增長。

    ChatGPT 的超強解答及創造能力,亦成為黑客製作釣魚電郵的神器。有黑客便製作出一個暗黑版本 WormGPT,通過餵入大量惡意網絡攻擊及釣魚電郵數據,將它訓練成可解答及創造網絡攻擊的工具。

    開發者在網絡犯罪論壇上稱 WormGPT 為 ChatGPT 的替代品,可以「做各樣違法的事」。(SlashNext 圖片)
    WormGPT 寫 BEC 電郵 句法更勝一籌

    電郵安全公司 SlasNext 研究員便成功取得該工具進行測試,發現 WormGPT 在商業詐騙電郵(BEC)上有不俗的輔助效果。研究員利用它去創製不同的 BEC 電郵內容,在其中一次測試上,它創製了一封偽冒成公司高層向會計經理施壓進行金錢轉帳的電郵,研究員說電郵內容不僅有說服力,同時兼具狡猾手段,特別是以往由不熟純的黑客撰寫 BEC 電郵時經常有句法上的錯誤,會引起收信人的疑心,但通過 WormGPT 則可解決這個問題,提升電郵的可信度。

    由 WormGPT 撰寫的電郵。 (SlashNext 圖片)

    綜合上述兩個問題,安全專家認為企業有必要加強員工培訓和改善電郵安全流程,除了要提醒員工不應隨便使用來歷不明的生成工具,以及不能將敏感數據匯入 AI,還要訓練員工如何分辨電郵及訊息的真偽,遇到包含金錢轉帳或標明急件的內容,就更需要通過其他方法與發送人確認,避免造成災難性損失。

    資料來源:https://www.bleepingcomputer.com/news/security/openai-credentials-stolen-by-the-thousands-for-sale-on-the-dark-web/

    相關文章:【ChatGPT】假App焗人訂閱月賺100萬美元 域名註冊大升910%

    #AI #BEC #ChatGPT #OpenAI #商業電郵詐騙

    相關文章