GPT adathalász módszer intelligencia mesterséges jelszó

Hallotta már? Megnyílt a GPT store, ennek veszélyeiről beszéltek a Nemzeti Kibervédelmi Intézet podcast-jében

Innováció vagy fenyegetés?

2024. 01. 31. 12:26

Nemrég megnyílt a GPT store, azaz a chatGPT azon felülete, ahol az egyedileg konfigurált mesterséges intelligenciákat oszthatják meg egymással a felhasználók. Az ezzel kapcsolatos előnyökről és veszélyekről beszélgettek a Nemzeti Kibervédelmi Intézet legújabb podcast adásában, ahol kiemelték:

ugyan számtalan előnyét élvezhetjük a mesterséges intelligenciának, kiberbiztonsági aspektusból viszont még több veszélyt hordoznak, a szakemberek kiemelik, hogy a téves adat megosztás már is rengeteg problémát okoz, a jövőben pedig még inkább ez lesz a jellemző.

– Az adathalászat már eddig is egy nagyon népszerű támadási forma volt, ma már az ehhez szükséges üzeneteket is a GPT-k készítik, de az emberek megtévesztése is hatalmas probléma, pláne, hogy lehet olyan GPT-t is készíteni, amelyik semmire nem ad helyes választ – hívta fel a figyelmet a műsor vendége, aki hozzátette, ő maga is készített egy úgynevezett hazugság chatbot-ot, amely minden kérdésre helytelen választ ad, és még érvelni is tud az állításai mellett.

– Amikor megkérdeztem, hogy ki volt Michael Jackson, azt válaszolta, hogy egy nagyon híres pék, ám, amikor szembesítettem vele, hogy én úgy tudtam, egy híres előadó volt, nem hagyta magát és azzal magyarázta, hogy amiatt maradt fent ez a téves hiedelem, hogy ez a pék a süteményeit híres popdalokról nevezte el. Ha én nem tudnám, hogy ki volt ez az énekes, lehet elhittem volna, mert nagyon hitelesen érvelt – hívta fel a figyelmet.

A műsor vendége arról is beszélt, egy egyszerű, ártalmatlan internetes játék során is érdemes elővigyázatosnak lennünk. – Kutatási célból létrehoztak egy olyan chatbot-ot is, amelyik játék közben arra kéri a felhasználót, hogy biztonsági okokból adjon meg egy felhasználó nevet és jelszót, valamint ehhez a feltételhez köti a játék folytatását, majd a GPT elküldte ezeket az adatokat a saját szerverére, amelyet később akár jelszólopásnak is fel tudott volna használni – részletezték az adásban. Hozzátették: Természetesen ennek a történetnek nincsenek károsultjai, hiszen csak kutatási célból tesztelték az embereket,

de az általános tapasztalat az, hogy egy ilyen ártalmatlan internetes játék esetén, a felhasználók 98 százaléka megadja a tőle kért adatokat, ami súlyos kiber bűncselekményeknek ágyaz meg.

Ártalmatlannak tűnő linkek: sokba kerülhet egy kattintás

Adathalász módszerrel szerzett banki adatokat három grúz állampolgárságú férfi, akiket a rendőrség nemrégiben buktatott le. A hatóság ez idáig 84 sértettet azonosított, akiktől összesen 17 millió forintot csaltak ki.

A rendőrség beszámolója szerint az áldozatok az interneten hirdettek eladásra különböző termékeket, melyekre az egyik csaló vevőként jelentkezett. A gyanútlan eladónak az elkövető üzenetben küldött egy linket, és azt állította, hogy a linken található oldalon az eladó megadhat minden szükséges adatot ahhoz, hogy az állítólagos vásárló ki tudja fizetni a termék árát és a szállítási költségét.

A link azonban egy adathalász oldalra vezetett, ahol az eladónak minden bankkártyaadatát meg kellett adnia, beleérte a PIN-kódot is; aki pedig ezt megtette, az felfedte az összes szükséges bankkártyaadatot, amivel a csalók regisztrálni tudták a sértett bankkártyáját egy e-pénztárca-szolgáltatónál.

Az állítólagos vásárló ezt követően azt állította, hogy az eladó kapni fog e-mailben vagy SMS-ben egy 6 jegyű kódot, amivel a szállítást és a fizetést véglegesíteni lehet, azonban a 6 jegyű biztonsági kód az e-pénztárca-regisztráció véglegesítéséhez kellett az elkövetőnek. Miután létrehoztak a sértett bankkártyaadataival egy digitális e-pénztárcát, a virtuális kártyával „okos-ATM-automatáknál” pénzt vettek fel.

A rendőrség kiemeli: mivel az okos-ATM-nél már nem szükséges magunknál tartani fizikailag a bankkártyánkat, ugyanis az okostelefonok, a tabletek és az okosórák számára elérhető gyors és biztonságos, vezeték nélküli adatcserével és e-pénztárca-szolgáltatást nyújtó alkalmazásokkal könnyedén regisztrálhatjuk a bankkártyánkat egy virtuális pénztárcába. A kártya hozzáadását követően telefonunkkal is fizethetünk, vagy vehetünk fel pénzt az egyre elterjedtebb okos-bankautomatákból. Az elkövetők ezzel az adathalász módszerrel megszerzett banki adatokkal és a regisztrált e-pénztárcákkal így teljeskörűen használni tudták a sértettek bankkártyáit online fizetésre és pénzfelvételre.

Az eljárás során a nyomozóknak sikerült azonosítaniuk azt a három grúz állampolgárt, akiket információs rendszer felhasználásával elkövetett csalás megalapozott gyanújával hallgatták ki. A nyomozók mobiltelefonokat és SIM-kártyákat foglaltak le tőlük, valamint közel 2 millió forintot és egy Mercedes gépkocsit is lefoglaltak vagyonvisszaszerzés céljából. A gyanúsítottak közül két férfi azóta is letartóztatásban van, harmadik társuk pedig börtönbüntetését tölti, egy korábban, embercsempészés ügyében kiszabott ítélet alapján.

Sikeres évet zártak a kiberbűnözők tavaly

Az elmúlt évben tízmilliárd forintot csaltak ki a kiberbűnözők a magyar károsultaktól az ESET adatai és becslése szerint, és ez az összeg évről évre nő: mivel a bűnözők mindig újabb módszerekkel kísérleteznek, hogy megszerezzék a személyes és a banki adatokat, a szakértők egyebek mellett azt ajánlják az ügyfeleknek, hogy különböző erős, egyedi, 15-20 karakteres jelszavakat használjanak, és soha ne mentsék el a személyes és pénzügyi adatokat online fiókokban, böngészőkben.

Az üzleti és otthoni biztonságtechnikai szoftvermegoldások nemzetközi szállítójának a közleménye szerint a bűnözők tavaly főként nemlétező csomagok vagy rendőrségi adategyeztetés miatt küldtek banki adatokat kérő sms-eket, vagy az online piactéren árult holminkat szerették volna megvenni, amihez szintén bankkártyaadatokat kértek.

A legkifinomultabb módszer a úgynevezett call centeres csalás volt, amikor a bűnözők banki ügyintézőnek adták ki magukat és azt ígérték, hogy biztonságba helyezik a számlán lévő pénzt.