Contact us: +45 32 67 26 26

Vi Bad ChatGPT Om At Skrive En Phishing-mail. AI Kan Være En Sikkerhedstrussel

Sarah Hofmann
By: Sarah Hofmann IT-sikkerhed | 8 maj

ChatGPT og andre AI værktøjer gør vores hverdag lettere. Det kan hjælpe med kreative ideer, skrive historier og opsummere søgninger, som ville tage flere timer at foretage nettet på få sekunder. Sejt ikke? Men med stor succes kommer også ansvar. I de forkerte hænder kan ChatGPT og andre AI redskaber blive udnyttet af cyber-kriminelle. Vi vil gerne se, hvad ChatGPT kan hjælpe hackere med og derfor spurgte vi om hjælp til at skrive en phishing mail. Fortsæt med at læse, for at se, hvad den kom op med.  

 

Phishing mails i en verden med AI  

Phishing er en af de største IT-sikkerhedstrusler virksomheder har I dag. Især med den teknologiske udvikling bliver det nemmere og nemmere at sende phishing mails ud. For eksempel kan stavekontrol, grammatikkorrektionssoftware og tone-læseværktøjer phishing mails til at virke mere legitime ved at fjerne sproglige fejl eller typiske tegn en phishing mail Nye AI-værktøjer som ChatGPT tager denne trussel til næste niveau. AI værktøjet kan nemt manipuleres til at skrive falske e-mails som svindlere kan bruge og tilpasse - helt gratis.  

For at en bedre ide om, hvad det tager at lave en phishing mail med det nye AI-værktøjer, følg med her. Jeg har fået ChatGPT til at skrive en phishing mail skabelon, fortælle mig, hvad gode emner for phishing mails kan være, og hvornår jeg skal sende en phishing mail ud, for at flest mulige til at klikke 

ChatGPT skal følge en etik, men den kan stadig udnyttes  

Jeg startede ud med at spørge ChatGPT om at lade som om, at den var en cyber-kriminel og producere en phishing mail. Først gav ChatGPT mig ingenting, fordi det var Imod dens etik. 

ChatGPT phishing email

ChatGPT er blevet trænet i etiske produktion, men det stopper den ikke, for at give mig nogle tips til, hvordan man kan skrive en phishing mail. 

AI tool ChatGPT writes phishing emails

ChatGPT giver phishing tips

ChatGPT gav mig også nogle tips til, hvilke emner phishing mails kan dække over 

ChatGPT kan misbruges af cyber-kriminelle

Og ChatGPT gav mig nogle hints om, hvordan skadelige links eller vedhæftede filer i phishing mails fungerer. 

AI gør det meget nemmere at snyde virksomheder

Det gav endda navnene nogle værktøjer, der let kan bruges til at skrive og sende skadelige e-mails. 

ChatGPT phishing værktøj

ChatGPT fortællere hackere, hvordan de kan snyde dig

Du ser her, at ChatGPT helt villigt gav mig en masse information, som kunne hjælpe en fremtidig svindler med, hvordan man kunne lave en god phishing mail. Sammen med en masse tip til, hvordan man skulle skrive mailen, hvilke emner den skulle dække, og hvilken software og værktøjer man kunne bruge.  

ChatGPT nævnte flere gange vigtigheden I at træne medarbejdere til at forstå konsekvenserne af en phishing mail, og hvordan man kunne genkende tegnene på en. Det vil vi komme tilbage til senere.  

ChatGPT vil ikke eksplicit skrive dig en phishing mail  

Som du kan se i min samtale med ChatGPT ovenover, så vil værktøjet ikke skrive en phishing med vilje grundet dens etik. Den vil dog gerne give dig brugbar information omkring, hvordan du nemmere kan skrive og sende phishing mails. 

Da jeg indså, at ChatGPT ikke kunne udnyttes så nemt. Så måtte jeg blive opfindsom. Derfor tog jeg en ny tilgang og startede med at spørge ChatGPT om hjælp med uskyldige spørgsmål som eksempelvis, at give mig et udkast på en mail til mine medarbejdere omkring et gavekort eller en obligatorisk sikkerhedsopdatering – ting som ChatGPT fortalte mig var typisk phishing – og her var ChatGPT mere en villig til at skrive en mail for mig.  

ChatGPT vil gerne skrive dig mail skabeloner... som kan bruges til phishing  

Herunder ser du nogle af de skabeloner som ChatGPT har skrevet for os. Med lidt information omkring den målrettet modtager eller organisation kan disse nemt tilpasses et phishingangreb. Der er mange tegn på social engineering angreb, som er kendt for at vække nysgerrighed, har ofte en deadline og giver ofte indikationen på, at der venter en belønning.  

Eksempel på phishing mail #1 

Som det første, spurgte jeg ChatGPT for en mail skabelon omkring et gavekort – et almindeligt phishingemne.  

ChatGPT skrev en phishing email skabelon

ChatGPT skrev en phishing mail skabelon

Eksempel på phishing mail #2 

Derefter fortalte jeg den, at mailen skulle, spørger modtagen om at åbne en fil.  

AI writes convincing phishing emails

AI makes phishing email templates for hackers

Eksempel på phishing mail #3 

Herefter spurgte jeg ChatGPT for en mail omkring en online anmeldelse af virksomheden – noget som udvalgte medarbejdere naturligt ville være nysgerrig omkring, og være villig til at klikke på linket for at se denne “anmeldelse”.   

ChatGPT og AI har gjort phishing mails nemmere at skrive

ChatGPT and AI write phishing email templates for free

Eksempel på phishing mail #4 

Så spurgte jeg den om en mail, hvor man skulle downloade et nyt sikkerheds program på ens PC.  

ChatGPT phishing template

ChatGPT phishing email skabelon

I løbet af få minutter gav ChatGPT mig fire grammatisk korrekte og velskrevne mails, som jeg kunne bruge i en phishing kampagne. Jeg vil vædde med, at du har modtaget legitime mails, som disse før! ChatGPT er trænet i rigtige mails, så den kan nemt efterligne mail kommunikation til forskellige formål og i forskellige toner – lige fra sjov og uformelt til meget professionel. Selvfølgelig vil noget af sproget måske kræve en lille justering så det kan matche målet, men ChatGPT gjorde alt det hårde arbejde for mig.   

Smart CTA_phishingcase EN

Jeg tog et større skridt og spurgte ChatGPT for de mest almindelige e-mailemner 

En god phishing mail blender ind med andre mails som vi modtager, så vores alarmklokker ikke ringer så nemt. Derfor gik jeg i de kriminelles fodspor og spurgte ChatGPT, hvilke mails folk modtager oftest. 

ChatGPT hjælpere hackere med at phishe dig

Og ud fra ChatGPT’s svar, spurgte jeg, om den kunne skrive mig en ny mail skabelon – denne gang skulle den være baseret på én af de mails som man modtager oftest, nemlig event invitationer.  

Eksempel på phishing mail #5 

Her er event invitationsmailen som ChatGPT skrev for mig. Hvis jeg havde inkluderet flere detaljer i min forespørgsel f.eks. en specifik industri, et overordnet emne, data osv. ville mailen være mere realistisk.  

ChatGPT phishing skabelon

ChatGPT og AI skriver phishing-e-mails.

Herefter spurgte jeg ChatGPT at skrive en mere spændende emnelinje. Det jeg lærte ved min første samtale med ChatGPT tog jeg med, fordi den fortalte mig, at man skulle bruge spændende emnelinjer for at motivere folk til at åbne mails. 

ChatGPT gav mig gode muligheder til emnelinjer

Her er et par eksempler på, hvilke emnelinjer ChatGPT gav mig, for at gøre mailen mere interessant. Det gav mig endda forskellige valgmuligheder, og den ville give mig endnu flere, hvis jeg spurgte

AI hjælper hackere med at skrive fængende e-mails.

Godt udrustet med mail skabeloner fra ChatGPT, afsluttede jeg min samtale ved at spørger efter nogle tips til, hvornår jeg skulle sende mailen ud, for at få flest besvarelser. Igen som prikken over I'et, så gav ChatGPT mig glædeligt indsigt i, hvornår den bedste tid er at sende mails ud.  

AI hjælper hackere med at skrive fængende e-mails.

ChatGPT taler mange sprog 

AI værktøjer er gode til at forstå kodesprog ligesom Python, men det stopper ikke der. ChatGPT kan også oversætte tekst til andre sprog. Det betyder at ChatGPT gør det lettere at oversætte mails til modtagerens sprog og med meget lidt indsats, kan ChatGTP give mig mailen i flere forskellige sprog. I kan se et eksempel herunder, hvor jeg spurgte ChatGPT om at oversætte en mail skabelon fra engelsk til dansk.  

ChatGPT translates emails into new languages

Oversættelsen er ikke perfekt og der er et par få grammatik fejl, men husk at vi lavede denne her test med den første og mest basis form for ChatGPT. Hvis teknologiens udvikling fortæller os noget, så vil forbedringer hurtigt blive implementeret. Derfor kan jeg kun forestille mig, hvad ChatGPT og andre AI værktøjer vil have af muligheder om seks måneder fra nu. Det er sandsynligt, at oversættelse vil blive mere præcise.  

ChatGPT kan nemt blive misbrugt af cyber-kriminelle  

Jeg brugte ikke mere end 15 minutter på at chatte med ChatGPT – og i den tid gav ChatGPT mig fem forskellige phishing mailskabeloner, emnelinjer, emner for phishing mails, og værktøjer jeg kunne bruge til at udvikle og sende phishing mails, og hvilket tidspunkt, der var bedst at sende phishing mails på.  

Så længe at ChatGPT ikke vidste, hvad jeg ville bruge information til, så var den glad for at give mig, hvad jeg spurgte om. Selvom ChatGPT er blevet kodet til at følge etiske retningslinjer, så var det nemt at arbejde rundt om, ved bare at omformulere mine spørgsmål. Hvis det var muligt for mig at skaffe denne information på få minutter, så vil det også være nemt for cyber-kriminelle.  

Open AI’s Playground værktøj er nemmere at manipulere 

Playground er et værktøj fra OpenAI, dem som har lavet ChatGPT. Princippet med Playground er det samme, du giver den et input og den returnerer tekst tilbage på sekunder. Playground er gratis det har dog en tidsbegrænsning, men mest vigtigt for IT-sikkerhed, så har Playground færrer etiske begrænsninger end ChatGPT. Jeg spurgte Playground om at skrive en phishing mail og den gav mig en. Uden nogen tøven. Her er to eksempler:  

Playground skriver en phishing email

AI tool Playground skriver en phishing email

Det står klart at Playground nemt kan blive udnyttet af cyber-kriminelle, som gerne vil skrive phishing mails. Så selvom at ChatGPT er mere kendt end Playground, så viser de to værktøjer, at der er forskelle på deres etiske standarder. De viser også at, cyber-kriminelle kan gøre meget lidt, for at få AI til at skrive en phishing mail. 

Evaluering: ChatGPT og andre AI værktøjer gør phishing nemmere end nogensinde før  

Som du har set, så gør ChatGPT det nemmere at phishe end nogensinde før, ved at hjælpe med at skrive selve phishingmailen. Dens værktøjer til at forfatte en mail kan blive brugt helt uskyldigt og som et tidsbesparende værktøj, men det kan også bruges af ondsindet cyber-kriminelle for phishing mails.  

Phishing træning bliver mere vigtigt 

Phishing er allerede den største IT-sikkerhedstrussel som virksomheder kan møde. Men med nye AI værktøjer som ChatGPT, der er gratis, vil denne trussel stige. Der er ingen tvivl om at phishing forsøg vil stige, da det bliver nemmere at producere og sende disse mails.

Træning af dit team til at genkende phishing og social engieering er derfor vigtigere end nogensinde før. Det er derfor, at CyberPilot fokuserer på træning af medarbejdere, så du får det stærkeste forsvar mod IT sikkerhedstrusler. Igennem både phishing test og sikkerheds awareness træning hjælper vi virksomheder med at beskytte sig mod IT-sikkerheds trusler.