Кибермошенники начали зарабатывать на популярности ChatGPT
Жулики начали предлагать платные услуги по регистрации аккаунтов в недоступной в России нейросети
В рунете начали появляться мошеннические ресурсы, создатели которых предлагают пользователям купить доступ к аккаунту для работы с ChatGPT. Если в декабре 2022 г. в российских доменных зонах было зарегистрировано три домена, ассоциированных с ChatGPT, то в январе 2023 г. их было уже 17, а в первые недели февраля – 41, рассказала «Ведомостям» руководитель группы анализа цифровых угроз «РТК-Солар» Диана Селехина.
Популярность мошеннических схем, связанных с оплатой аккаунтов ChatGPT, подтверждают также представители компаний BI.Zone и Group-IB. По подсчетам BI.Zone, c 1 января 2023 г. в сети было зарегистрировано 5233 домена, в которых есть сочетание chatgpt, из них 53 – в доменной зоне .ru.
Нейросетью можно пользоваться бесплатно, для этого нужна только регистрация на сайте разработавшей ее компании OpenAI. Но пройти верификацию по российскому номеру телефона нельзя, доступ к чат-боту с российских IP-адресов также заблокирован. Пользователи ищут способы обойти ограничение и завести аккаунт на площадке, чем и пользуются мошенники, объясняет директор департамента анализа защищенности и противодействия мошенничеству BI.Zone Евгений Волошин.
Сейчас существует как минимум два способа обхода этих ограничений, каждый из которых несет в себе потенциальные риски, говорит операционный директор департамента Digital Risk Protection Group-IB Владимир Калугин. Первый способ зарегистрироваться предусматривает использование временного зарубежного номера телефона для получения проверочного кода, уточняет он. Но поскольку номер не принадлежит пользователю, зарегистрированный на него аккаунт может быть украден, добавил он. Второй способ, по словам Калугина, – купить готовый аккаунт или воспользоваться помощью с его регистрацией. В этом случае покупатель может остаться без аккаунта после перевода денежных средств.
Только запрос в «Яндексе» дает около сотни предложений о покупке аккаунта на ChatGPT, говорит руководитель направления «Расследование инцидентов информационной безопасности» FBK CyberSecurity Игорь Собецкий. Цена на разных ресурсах варьируется от 11 руб. («виртуальный номер» для самостоятельной регистрации) до 400 руб. за аккаунт на сервисе классифайдов, убедились «Ведомости».
Не все связанные с ChatGPT сайты являются фишинговыми, часть действительно используется для продажи аккаунтов, но в целом уровень вредоносной активности вокруг нейросети сейчас крайне высок, утверждает Селехина. В случае фейковых сайтов пользователь рискует как платежными данными, так и иной конфиденциальной информацией, предупреждает она. Доступ к ChatGPT в России продают и через чат-боты в Telegram, и на досках объявлений, отмечает Калугин. В этом случае мошенник под предлогом регистрации аккаунта может попросить перевести деньги ему на счет в качестве предоплаты либо прислать фейковую страницу оплаты и похитить деньги и данные карты, объяснил эксперт.
На вопрос о том, как не стать жертвой мошенников при попытке зарегистрироваться на ChatGPT, «Ведомости» попросили ответить сам чат-бот. Он дал несколько очевидных и даже банальных ответов о безопасном поведении в сети.
Так, нейросеть посоветовала регистрироваться только на официальном сайте ChatGPT, при этом проверить URL-адрес и убедиться, что он начинается с https и «имеет зеленый замочек» (это означает, что сайту выдан сертификат безопасности и что для него сгенерирована пара криптографических ключей. – «Ведомости»). Также в списке рекомендаций нейросети – не передавать данные кредитных карт незащищенным сайтам или неизвестным лицам и не отправлять деньги на кошельки криптовалют или другие счета в обмен на обещания получить доступ к ChatGPT.
В целом эта мошенническая схема стандартная, просто используется новый инфоповод, отмечает Селехина. Злоумышленники часто адаптируют свои схемы под актуальную новостную повестку, подтверждает ведущий контент-аналитик «Лаборатории Касперского» Михаил Сытник. Помимо сайтов для покупки аккаунта на платформе создаются также ресурсы с розыгрышем криптовалют, организованным якобы от имени разработчиков нашумевшего чат-бота, добавил эксперт. На них предлагают перевести некоторое количество криптовалюты, чтобы увеличить потенциальный выигрыш, но, если пользователь примет участие в такой акции, он потеряет деньги, предупредил Сытник.
Есть и второе направление использования ChatGPT в противоправных целях, когда сама нейросеть становится прикладным инструментом злоумышленников, рассказала Селехина. В частности, она может быть успешно использована для написания кода вредоносных программ и фишинговых писем, соглашается директор «Антифишинга» Сергей Волдохин. Более того, при наличии доступа к архиву электронной почты злоумышленник может использовать ChatGPT для тонкой настройки большой языковой модели, чтобы воспроизвести стиль письма конкретного человека, например генерального директора, предупреждает он.
Среди других сценариев использования чат-бота – разработка новых скриптов телефонного мошенничества или фейковых страниц сайтов, говорит Собецкий. Впрочем, поскольку ChatGPT заточен преимущественно под английский язык, российскими мошенниками он пока используется не слишком часто, замечает он.
Одним из способов борьбы с созданием в ChatGPT неправомерного контента может стать маркировка результатов его деятельности, рассуждает ведущий юрисконсульт юридической компании ЭБР Анна Сарбукова. По этому пути, в частности, пошел Китай, где с 10 января 2023 г. вступил в силу указ, запрещающий генерацию нейросетями контента без проставления водяных знаков.
При наличии других признаков фишингового сайта дополнительное информирование пользователя о том, что сайт был создан с помощью функционала нейросети, должно вызвать у него подозрения, рассуждает Сарбукова. «Законодательное регулирование должно быть направлено не на запрет использования технологий ИИ, а на предупреждение о том, что пользователь запускает программу, способную сгенерировать контент, неотличимый от создаваемого человеком», – считает эксперт.