روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ قانون طلاییِ «اگر چیزی محبوب است، مجرمان سایبری آن را اکسپلویت می‌کنند» باری دیگر اجرا می‌شود. این بار قصد داریم در مورد چت‌بات ChatGPT ساخت  OpenAI که بسیار ترند شده و البته مورد حمله اسکمرها نیز قرار گرفته صحبت کنیم. با ما همراه بمانید.

در باب محبوبیت ChatGPT

وقتی OpenAI به چت‌بات هوش مصنوعی خود (که چت‌باتی مبتنی بر شبکه‌های عصبیِ آموزش‌دیده روی مجموعه وسیعی از متن است) دسترسی پیدا کرد، جهان اینترنت یک‌شبه به طورقابل‌توجهی تغییر نمود. کاربران سراسر کره زمین هجوم آوردند تا ببینند چه کارهایی از این چت‌بات برمی‌آید- و البته که مأیوس هم نشدند (تازه اغلب به طور مثبتی نیز حیرت کردند). ChatGPT می‌تواند طوری یک دیالوگ را حفظ کند که انگار آن طرف خط یک فرد واقعی وجود دارد. و از همه جذاب‌تر اینکه کارش در نوشتن متن‌های کوتاه در مورد موضوع داده‌شده آن هم به سبکی ویژه –مانند شعر- حرف ندارد. این بات می‌تواند با یک قالب مشخص سازگار شود و متن‌هایی تولید کند که کمتر از یک کپی‌رایتر تازه‌کار نباشد. زیرا اگزابایت اگزابایت دانش (در مورد هر چیزی که فکرش را بکنید) در اختیار دارد.

همچنین می‌توانید روی موضوعات ناآشنا از ChatGPT توصیه‌هایی بخواهید و در بیشتر مواقع توصیه‌هایی خوبی از آن دریافت می‌کنید. بله درست است، ChatGPT به همین اندازه در دروغ گفتن و انتشار خطا نیز می‌تواند به کار بیاید! کاربرد ChatGPT در حال رواج پیدا کردن است و این کاربرد تنها جنبه‌ی سرگرمی ندارد بلکه می‌توان از آن برای مقاصد تجاری نیز استفاده کرد. با کمک چت‌بات‌ها می‌شود خیلی سریع وبسایت‌ها را پر از محتوا کرد، شرح‌های محصول ساخت، برای گیم‌ها کوئست درست کرد و کارهای مختلفی برای کمک به افراد با حرفه‌های مختلف نمود. جای تعجب ندارد که سرورهای ChatGPT به سرعت اورلود شود پس  Open AI مجبور بود از جایی به بعد شروع کند به افزایش ظرفیت خود.

این شرکت خیلی زود از سوی مایکروسافت سرمایه دریافت کرد و حالا  ChatGPT با بینگ –البته با یک سری محدودیت‌ها- ادغام شده است. در واکنش، گوگل نیز شبکه عصبی مخصوص خود را به نام Bard راه‌اندازی کرد که قابلیت‌های مشابهی دارد اما از سوی شرکت دستاوری قلمداد نشده که بشود در بازار عرضه‌اش کرد. گمان داریم تا اینجای کار متوجه محبوبیت ChatGPT و اینکه جهان امنیت سایبری را تا چه حد تغییر داده است شده باشید اما در حال حاضر می‌شود گفت کاربرد چت‌بات‌ها در حملات فیشینگ یا توسعه بدافزار در مرحله فرضی قرار دارد. اما ChatGPT در عمل همین الانش نیز دارد به عنوان تله‌ای برای توزیع بدافزار مورد استفاده قرار می‌گیرد.

چه چیزی اسکمرها را به ChatGPT جذب می‌کند؟

چرا برخی اسکمرها ناگهان شروع کردند به استفاده کردن از ChatGPT بعنوان تله؟ دلیل، محبوبیت بسیار زیاد این سرویس است. گرچه ChatGPT به لحاظ فنی رایگان است اما دسترسی بدان اصلاً کار آسانی نیست. ابتدا اینکه برای ثبت اکانت در وبسایت  OpenAI باید آدرس ایمیل و شماره تلفن خود را وارد کنید. اما همه کدهای کشور پذیرفته‌شده نیستند: ثبت ChatGPT در حال حاضر در روسیه، چین، مصر، ایران و برخی کشورهای قابل‌دسترسی نیست پس هر کسی نمی‌تواند برحتی به چنین اکانتی برسد. دوم اینکه حتی اگر تصمیم داشته باشید اکانتی روی وبسایت OpenAI بسازید به این معنا نیست که قادر خواهید بود از ChatGPT استفاده کنید: این سرویس تقریباً لبریز است از کاربرانی که سعی دارند از این هوش مصنوعی بی‌نظیر استفاده کنند، از آن بخواهند برایشان متن بازاریابی بنویسد یا تسک‌های دیگر به آن محول کنند. ورود کاربران به حدی بود که OpenAI طرح اشتراک با اولویت دسترسی و تولید سریعتر متن را به قیمت 20 دلار آمریکا در ماه ارائه داد. و حالا این شد همانی که اسکمرها می‌خواستند: تقاضای بالا و دسترسی پایین.

کلاینت دسکتاپی که هرگز وجود نداشت

متخصصین کسپرسکی کمپینی را کشف کردند که کارش اکسپلویت کردن ChatGPT محبوب است. کلاهبرداران در شبکه‌های اجتماعی که به طور متقاعدکننده‌ای اکانت‌های رسمی OpenAI  را تقلید می‌کنند (یا دست کم به تقلید از جوامع علاقمند بسنده می‌کنند). این گروه‌ها پست‌هایی به همان اندازه مجاب‌کننده نشر می‌دهند: برای مثال ChatGPT سریعتر از هر سرویس دیگری به کاربر میلیونی می‌رسد. پایین پست لینکی برای دانلود ظاهریِ کلاینت دسکتاپی ChatGPT وجود دارد.

همچنین در این گروه‌ها اطلاعات محرمانه تقلبی از اکانت‌های از پیش‌ساخته‌شده که گفته می‌شود دسترسی به  ChatGPT را ارائه می‌دهند پست می‌شود. برای انگیزه‌بخشی بیشتر به کاربران احتمالی، مهاجمین می‌گویند هر اکانت هم‌اکنون دارای 50 دلار آمریکا موجودی دارد که می‌شود بابت چت‌بات خرجش کرد. همه‌چیز طبیعی جلوه داده می‌شود و کاربر فکر می‌کند فرصت استفاده از ChatGPT را بدون اینکه دردسر ساخت اکانت را داشته باشد دارد. حتی رایگان اقدام به دریافت قابلیت‌های پریمیوم نیز می‌کند: فقط کلاینت دسکتاپ را دانلود کرده و بقیه کارها انجام خواهد شد. شاید بتوانید اتفاق بعد این را حدس بزنید اما بگذارید به هر حال براتان تعریف کنیم بعدش چه می‌شود: کلیک روی لینک با یوآرالی بسیار معقول، سایت خوش‌ساختی را باز می‌کند که در آن از شما دعوت می‌شود نسخه ویندوزی ChatGPT را دانلود کنید و نه سایت رسمی آن را (با این حال بسیار شبیه به سایت اورجینال است). چنانچه روی دکمه دانلود کلیک کنید، آرشیوی به همراه فایل قابل‌اجرا دانلود خواهید کرد.

اگر این آرشیو آن‌پک شود و فایل قابل‌اجرا شروع به کار کند –بسته به نسخه ویندوز- کاربر یا پیامی می‌بیند با این مضمون که نصب به دلایلی انجام نشد یا هیچ پیامی دریافت نمی‌کند که در این نقطه اینطور به نظر می‌رسد که پروسه به انجام رسیده است.  کاربر با خودش می‌گوید «نشد که بشه از اکانت از پیش ساخته‌شده با قابلیت‌های پریمویم استفاده کنم» و بعدش این اتفاق را فراموش خواهد کرد- شاید هم برگردد به همان رویه ساخت معمول اکانت روی سایت واقعی ChatGPT.

در واقع پروسه نصب شکست نخورد: سارق تروجان روی کامپیوتر کاربر نصب شده که از همان بخش قرار است اطلاعات اکانت ذخیره‌شده در کروم، فایرفاکس، بریو، کوک‌کوک (معروف در ویتنام) و سایر مرورگرها سرقت شود. ما نام این بدافزار را Trojan-PSW.Win64.Fobo گذاشته‌ایم. سازندگان تروجان مذکور به کوکی‌های فیسبوک، تیک‌تاک و گوگل علاقه دارند- خصوصاً اکانت‌های تجاری. این ویروس کارش ابتدا سرقت نام کاربری و پسورد است و بعد پیدا کردن اکانت تجاری در یکی از این سرویس‌ها. سپس سعی دارد اطلاعات بیشتر مانند اینکه چقدر پول صرف تبلیغات از اکانت می‌شود و موجودی فعلی چقدر است دریافت کند. طبق داده‌های ما، مهاجمین بازار بین‌المللی را هدف گرفتند- کلاینت دسکتاپ ChatGPT از پیش در آسیا، آفریقا و آمریکا و اروپا دیده شده است.

نحوه استفاده امن از ChatGPT

برای شروع، توجه کنید که هیچ نسخه رسمی دسکتاپ، موبایل یا سایر کلاینت ChatGPT وجود ندارد- تنها نسخه وبی موجود است. خود این چت‌بات وقتی از آن خواسته می‌شود بلاگی در مورد این کمپین اسکم بنویسد به این نکته اشاره می‌کند!

البته همچنین نیازی به اکانت‌های از پیش‌ساخته‌شده نیست. در حال حاضر، تنها قابلیت پولی  OpenAI همان تعرفه یک ماهه با اولویت دسترسی است؛ در غیر این صورت دسترسی به ChatGPT تماماً رایگان است. پس می‌توانید رایگان اقدام به ثبت اکانت واقعی ChatGPT بکنید بدون هیچ ملحقاتی. حتی اگر شماره تلفن‌تان به دلیل محدودیت‌های برخی کشورها به کار نمی‌آید می‌توانید از دوستی در خارج از کشورتان بخواهید برایتان سیم کارتی بخرد و یا از شماره تلفن موقتی استفاده کند (فقط یک بار بدان نیاز خواهید داشت و آن هم برای فعال کردن اکانت خواهد بود). کلی سرویس وجود دارد که برای دریافت کدهای تأیید با متن به شما شماره تلفن موقتی می‌دهند: فقط کافیست «شماره تلفن یکبار مصرف» را سرچ کنید. نکته اصلی این است که مطمئن شوید سایت، رسمی است(https://chat.openai.com).

برای انجام این کار، لینک را فالو نکنید بلکه یوآرال را خودتان دستی در نوار آدرس وارد کنید. روی کامپیوتر خود نیز راهکار امنیتی خوبی را نصب کنید- ChatGPT روز به روز محبوب‌تر می‌شود و مهاجمین هر روز با کمپین‌های پیشرفته‌تری به سراغ این چت‌بات رو به تکامل می‌آیند. مطمئناً هشیاری امری حیاتی است اما برخی‌اوقات حتی حرفه‌ای‌ترین‌ها و زیرک‌ها هم ممکن به دام سایت‌های تقلبی خوش‌ساخت یا حمله فیشینگ بیافتند. پس بهتر است جانب امنیت را رعایت کنید. همه راهکارهای امنیتی کسپرسکی Trojan-PSW.Win64.Fobo را شناسایی می‌کنند و جلوی ورود آن را به کامپیوتر شما می‌گیرند. در مورد کلاینت‌های دسکتاپی  ChatGPT نیز باید بگوییم به زودی پدیدار خواهند شد- اگر رسمی‌ هم نباشند احتمالاً طرف‌سوم خواهند بود. اما همیشه پیش از استفاده از هر نوعی از کلاینت طرف‌سوم تجدید نظر کنید و بر همه نیز عیان است که در این مسیر داشتن آنتی‌ویروس حسابی کمکتان می‌کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.