ChatGPT och andra AI-verktyg underlättar vårt dagliga arbete. De kan komma på kreativa idéer åt oss, skriva berättelser och på några sekunder sammanfatta det som annars skulle ta oss timmar av internetforskning. Coolt, eller hur? Men med stor makt följer stort ansvar. I fel händer kan ChatGPT och andra verktyg utnyttjas av bedragare och cyberkriminella. Vi ville se hur ChatGPT skulle kunna förenkla arbetet för en bedragare, så vi bad den om hjälp med att skriva ett nätfiskemejl. Fortsätt läsa för att se vad ChatGPT levererade!
Nätfiskemejl i en värld av artificiell intelligens
Nätfiske har länge varit ett av de största hoten mot IT-säkerheten. Med varje ny teknisk utveckling blir det allt lättare att skicka ut nätfiskemejl. Till exempel kan stavningskontroller, program för korrigering av grammatik och tonläsningsverktyg få nätfiskemejl att verka mer legitima genom att ta bort språkliga fel eller avslöjande tecken. Andra verktyg som phishing-kit har gjort det lättare än någonsin för bedragare att skapa realistiskt utformade nätfiskemejl. Nya AI-verktyg som ChatGPT tar detta hot till nästa nivå. De kan lätt manipuleras för att skriva falska e-postmeddelanden som bedragare kan reproducera och anpassa, helt gratis.
Läs vidare för att få en bättre uppfattning om hur skapandet av nätfiskemejl ser ut i en värld med nya AI-verktyg. Jag låter ChatGPT skriva mallar för nätfiskemejl, föreslå vad som kan vara bra ämnen för ett nätfiskemejl och när jag bör skicka ut nätfiskemejl för att få bästa möjliga svarsfrekvens.
ChatGPT måste följa en etisk kod, men kan fortfarande utnyttjas
Jag började med att rakt ut be ChatGPT att låtsas vara en cyberkriminell och skriva ett nätfiskemejl åt mig. Först gav ChatGPT mig ingenting på grund av den etiska kodex som den måste följa.
ChatGPT har tränats i etisk informationsproduktion, men det hindrade den inte från att ge mig några tips om hur man skriver ett nätfiskemejl.
ChatGPT gav mig också några ämnen som är vanligt förekommande i nätfiskemejl...
...Och några tips om hur skadliga länkar eller bilagor i nätfiskemejl fungerar.
Jag fick till och med namnen på några verktyg som kan användas för att enkelt skriva och skicka skadliga e-postmeddelanden.
Du kommer att märka att ChatGPT frivilligt gav mig en hel del information som kan hjälpa en potentiell cyberkriminell att lära sig hur man skriver ett bra nätfiskemejl, såväl som tips om ämnen, programvaror eller andra verktyg som kan användas i en bluff.
ChatGPT nämnde också flera gånger vikten av att utbilda de anställda så att de förstår farorna med nätfiske och känner igen tecknen på ett nätfiskemejl. Vi återkommer till detta senare.
ChatGPT kommer inte bokstavligen skriva ett nätfiskemejl åt dig
Som du kan se i min konversation med ChatGPT ovan kommer verktyget inte medvetet att skriva ett nätfiskemehl åt mig på grund av sin etiska kod. Den kommer dock att ge värdefull information som kan göra det lättare att skriva och skicka nätfiskemejl.
När jag väl insåg att ChatGPT inte kunde utnyttjas så lätt var jag tvungen att testa några andra knep. Jag började med att be ChatGPT om hjälp med oskyldiga förfrågningar, som att skriva e-postmeddelanden för att informera mina anställda om ett presentkort eller en obligatorisk säkerhetsuppdatering, saker som ChatGPT berättade för mig var vanliga nätfiskekrokar. Trots det var ChatGPT mer än gärna villig att svara på mina förfrågningar.
Men ChatGPT skriver gärna e-postmallar.... som kan användas för nätfiske
Här kan du se några av de e-postmallar som ChatGPT skrev åt mig. Med endast lite information om mottagaren eller organisationen kan dessa mallar enkelt anpassas för användning i en nätfiskeattack. De innehåller även många tecken på social manipulation eftersom de skapar brådska, nyfikenhet och önskan om en belöning.
Exempel på nätfiskemejl #1
Först bad jag ChatGPT om en e-postmall som handlade om ett presentkort, vilket är ett vanligt nätfiske-tema.
Exempel på nätfiskemejl #2
Sedan frågade jag om ett e-postmeddelande där jag bad mottagaren att öppna en bilaga före dagens slut.
Exempel på nätfiskemejl #3
Därefter bad jag ChatGPT om ett e-postmeddelande som handlade om en online-recension av ett företag, vilket är något som de anställda naturligtvis skulle vara nyfikna på och vilja klicka på länken för att se.
Exempel på nätfiskemejl #4
Sedan bad jag om ett e-postmeddelande där mottagarna ombes ladda ner ett nytt säkerhetsprogram till deras bärbara datorer på jobbet.
På bara någon minut gav ChatGPT mig fyra grammatiskt korrekta och välskrivna e-postmeddelanden som jag kunde använda i nätfiske-kampanjer. Jag slår vad om att du har fått ett legitimt e-postmeddelande som detta tidigare! ChatGPT tränades på riktiga e-postmeddelanden, så den kan efterlikna e-postkommunikation för olika syften och i olika tonfall - från roligt och avslappnat till professionellt. Naturligtvis kan en del av språket behöva justeras så att det matchar målgruppen, men ChatGPT gjorde allt det hårda arbetet åt mig.
Jag tog det ett steg längre och frågade ChatGPT om de vanligaste ämnena för e-post
Ett bra nätfiskemejl smälter in bland de andra e-postmeddelanden vi får, så det är inte lika lätt att få några misstankar och slå larm. Så jag frågade ChatGPT om idéer om vilka typer av e-postmeddelanden som folk oftast får.
Efter ChatGPT:s svar bad jag den att skriva en ny e-postmall, den här gången baserad på en av de vanligaste e-postmeddelandena vi får, nämligen inbjudningar till evenemang.
Exempel på nätfiskemejl #5
Här är e-postmeddelandet med inbjudan till ett evenemang som ChatGPT skrev åt mig. Om jag hade lagt till fler detaljer i min förfrågan, t.ex. specifik bransch, evenemangstema, datum etc., skulle e-postmeddelandet ha varit ännu mer realistiskt.
Sedan bad jag ChatGPT att göra ämnesraden mer intressant. Jag använde mina erfarenheter från min första konversation med ChatGPT, där ChatGPT berättade att det är viktigt att använda en “catchy” ämnesrad så att människor motiveras att öppna e-postmeddelandet.
ChatGPT gav mig "catchy" ämnesrader
Här är några exempel på ämnesrader som ChatGPT gav mig för att göra e-postmeddelandet mer klickbart. Den gav mig till och med flera olika alternativ, och den skulle ha gett mig fler om jag hade frågat.
Väl utrustad med e-postmallarna från ChatGPT avslutade jag vår konversation med att be om några tips om när jag ska skicka ut mina e-postmeddelanden för att få bästa möjliga svarsfrekvens. Som grädde på moset gav ChatGPT mig gärna insikter om den bästa tiden för att skicka ut e-postmeddelandena.
ChatGPT talar många språk
AI-verktyget har väckt uppmärksamhet när det gäller dess förståelse för kodningsspråk som Python. Det slutar dock inte där. ChatGPT kan nämligen översätta text till andra språk. Det innebär att ChatGPT kan förenkla arbetet för cyberkriminella med att översätta e-post till målgruppens språk. Med mycket liten ansträngning kan ChatGPT alltså ge mig samma e-postmeddelande på en rad olika språk. Till exempel bad jag ChatGPT att översätta presentkorts e-postmeddelandet från engelska till danska.
Översättningen är inte perfekt, det finns till exempel några grammatiska fel och konstiga formuleringar. Men kom ihåg att vi gjorde det här testet med den första och mest grundläggande formen av ChatGPT. Om tekniska innovationer säger oss något är det att det hela tiden kommer nya framsteg. Så du kan föreställa dig vad ChatGPT och andra AI-verktyg kommer att kunna göra om sex månader, eller till och med om ett år. Det är troligt att svaren på andra språk kommer att bli mer exakta och tillförlitliga med tiden.
ChatGPT kan lätt manipuleras av cyberkriminella
Totalt tillbringade jag inte mer än 15 minuter med att chatta med ChatGPT, och under den korta tiden gav ChatGPT mig fem olika mallar för nätfiskemejl, flera alternativ för ämnesrader och ämnen för nätfiskemejl, tips på verktyg som jag kan använda för att utveckla och skicka nätfiskemejl samt förslag på när jag skulle skicka ut mina nätfiskemejl.
Så länge ChatGPT inte visste att jag använde informationen för att skicka ut ett nätfiskemejl gav de mig gärna vad jag bad om.
Även om ChatGPT har tränats för att följa etiska riktlinjer är det fortfarande lätt att kringgå detta genom att omformulera dina frågor till till synes oskyldiga förfrågningar. Kort sagt, om jag kunde få den här informationen från ChatGPT på endast några få minuter kan cyberkriminella också det.
OpenAI:s Playground-verktyg är lättast att manipulera
Playground är ett verktyg från OpenAI, skaparen av ChatGPT. Principen är densamma som för ChatGPT: du ger Playground en uppmaning och den skickar ett svar på några sekunder. Playground är gratis, men har en tidsgräns. Men viktigast för IT-säkerheten är att Playground har färre etiska begränsningar än ChatGPT. Jag bad Playground om ett nätfiskemejl och fick ett tillbaka helt utan frågor eller tvekan. Här är två exempel:
Det är tydligt att Playground lätt kan utnyttjas av cyberbrottslingar som vill ha nya mallar för nätfiskemejl. Även om ChatGPT är mer känt än Playground visar de två verktygen på de olika etiska standarder som AI-verktyg tränas att följa. De visar också hur en cyberbrottsling ibland måste göra det absolut minsta nödvändiga för att få AI att skriva ett nätfiskemejl.
Vad är då slutsatsen? Jo, att ChatGPT och andra AI-verktyg gör nätfiske enklare än någonsin
Som du har sett gör ChatGPT nätfiske enklare än någonsin genom att förenkla hela skivar- och skapandeprocessen. Dess förmåga att generera e-postmeddelanden kan användas både som ett oskyldigt tidsbesparande verktyg och som en skapare av skadligt innehåll, till exempel för nätfiskemeddelanden.
Nätfisketräning blir alltmer viktigt
Nätfiske är redan det farligaste hotet mot cybersäkerheten som företag står inför. Men med allmänt tillgängliga och gratis AI-verktyg som ChatGPT blir hotet ännu större. Det råder ingen tvekan om att antalet nätfiskeförsök kommer att öka i takt med att det blir lättare att producera och skicka bedrägerier.
Att utbilda ditt team i att känna igen nätfiske och social manipulation är därmed viktigare än någonsin. Det är därför vi på CyberPilot fokuserar på att utbilda anställda så att de blir vårt starkaste försvar mot IT-säkerhetshot. Genom både nätfiske-tester och utbildning i säkerhetsmedvetenhet hjälper vi organisationer att skydda sig mot cybersäkerhetshot i takt med att de utvecklas.