-
09/04/2020
-
93
-
600 bài viết
Những mối nguy hại về an ninh mạng từ cơn sốt ChatGPT
ChatGPT là một trong những trí tuệ nhân tạo (AI) tiên tiến nhất hiện nay, được phát triển bởi OpenAI và chính thức ra mắt vào tháng 11/2022. Ngay từ khi ra mắt, ứng dụng chatbot này đã tạo nên cơn sốt trên toàn cầu bởi khả năng giao tiếp linh hoạt và thông minh như một con người. Theo ước tính, mỗi ngày ChatGPT thu hút đến 13 triệu lượt người sử dụng.
Bên cạnh những lợi ích và kiến thức mà ChatGPT mang lại, sự nổi tiếng và khả năng trả lời gần như mọi vấn đề của công cụ này cũng mang tới những mối nguy hại về an ninh mạng.
Các dịch vụ đăng ký tài khoản ChatGPT giả mạo
Hiện nay, OpenAI chưa cho phép đăng ký sử dụng ChatGPT tại Việt Nam. Để có thể trải nghiệm ứng dụng này, người dùng Việt Nam thường phải tìm cách mua lại các tài khoản đăng ký từ nước ngoài, với giá từ vài chục nghìn đến vài trăm nghìn đồng cho một tài khoản. Trong khi nhu cầu của người dùng cực lớn, kẻ xấu có thể lợi dụng điều này để thực hiện hành vi lừa đảo, yêu cầu nạn nhân chuyển tiền trước để có tài khoản, nhưng sau khi nhận được tiền, chúng lập tức chặn mọi liên hệ với nạn nhân.
Các nội dung nhận đăng ký tài khoản ChatGPT tràn lan trên Facebook
Nguy cơ mất an toàn an ninh từ các ứng dụng giả mạo ChatGPT
Sức hấp dẫn của ChatGPT đang tạo ra làn sóng “ăn theo” của các phần mềm, website giả mạo. Trên các nền tảng di động như Google Play hay App Store, có thể dễ dàng tìm thấy nhiều ứng dụng có logo hay tên na ná ChatGPT, được tạo ra để “dựa hơi” kiếm lời qua việc thu phí người sử dụng.
Trên nền tảng Android, một số ứng dụng yêu cầu người dùng cấp quyền truy cập, sau đó đánh cắp các thông tin, dữ liệu trên điện thoại của nạn nhân. Hiện, Google Play đã có động thái rà soát gỡ bỏ những ứng dụng giả mạo nhưng vẫn còn rất nhiều.
Chợ ứng dụng chứa hàng loạt ứng dụng “dựa hơi” ChatGPT
Trong Cửa hàng Chrome, đã xuất hiện extensison độc hại với mục đích đánh cắp tài khoản Facebook của người dùng. Theo thống kê, có tới hơn 2.000 lượt cài đặt extension này trước khi bị gỡ xuống.
Các website giả mạo vẫn sử dụng các phương thức cũ, dùng icon và tên miền gần giống với website chính thức, nhưng trỏ hướng người dùng đến một trang yêu cầu điền thông tin thẻ tín dụng để mua bản cao cấp, từ đó đánh cắp thông tin thẻ. Bên cạnh đó, chúng còn phát tán mã độc bằng cách yêu cầu người dùng tải xuống ứng dụng cho Windows.
Lợi dụng ChatGPT để tạo ra mã độc và vượt qua các cơ chế bảo mật
Với khả năng viết code trong vài giây, ChatGPT có thể bị lợi dụng để tạo ra các dòng mã lệnh phục vụ những mục đích xấu. Trên nhiều diễn đàn hacker, thành viên chia sẻ công khai các đoạn code phục vụ mục đích xấu, được khai thác từ ChatGPT. Tuy các nhà phát triển đã có biện pháp để hướng ứng dụng AI này không đưa câu trả lời cho các hành động nguy hiểm, nhưng việc ngăn chặn chưa thực sự hiệu quả.
Các đoạn code được chia sẻ công khai trên diễn đàn hacker
Lợi dụng khả năng đối thoại tự nhiên, như con người của ChatGPT, tin tặc cũng có thể thực hiện lừa đảo qua tin nhắn hoặc e-mail với cơ chế tinh vi hơn, qua mặt được các công nghệ phát hiện e-mail spam.
Để tránh những mối nguy hại tiềm tàng mà chatGPT có thể tạo ra, các chuyên gia Bkav khuyến cáo:
Bên cạnh những lợi ích và kiến thức mà ChatGPT mang lại, sự nổi tiếng và khả năng trả lời gần như mọi vấn đề của công cụ này cũng mang tới những mối nguy hại về an ninh mạng.
Các dịch vụ đăng ký tài khoản ChatGPT giả mạo
Hiện nay, OpenAI chưa cho phép đăng ký sử dụng ChatGPT tại Việt Nam. Để có thể trải nghiệm ứng dụng này, người dùng Việt Nam thường phải tìm cách mua lại các tài khoản đăng ký từ nước ngoài, với giá từ vài chục nghìn đến vài trăm nghìn đồng cho một tài khoản. Trong khi nhu cầu của người dùng cực lớn, kẻ xấu có thể lợi dụng điều này để thực hiện hành vi lừa đảo, yêu cầu nạn nhân chuyển tiền trước để có tài khoản, nhưng sau khi nhận được tiền, chúng lập tức chặn mọi liên hệ với nạn nhân.
Các nội dung nhận đăng ký tài khoản ChatGPT tràn lan trên Facebook
Nguy cơ mất an toàn an ninh từ các ứng dụng giả mạo ChatGPT
Sức hấp dẫn của ChatGPT đang tạo ra làn sóng “ăn theo” của các phần mềm, website giả mạo. Trên các nền tảng di động như Google Play hay App Store, có thể dễ dàng tìm thấy nhiều ứng dụng có logo hay tên na ná ChatGPT, được tạo ra để “dựa hơi” kiếm lời qua việc thu phí người sử dụng.
Trên nền tảng Android, một số ứng dụng yêu cầu người dùng cấp quyền truy cập, sau đó đánh cắp các thông tin, dữ liệu trên điện thoại của nạn nhân. Hiện, Google Play đã có động thái rà soát gỡ bỏ những ứng dụng giả mạo nhưng vẫn còn rất nhiều.
Chợ ứng dụng chứa hàng loạt ứng dụng “dựa hơi” ChatGPT
Trong Cửa hàng Chrome, đã xuất hiện extensison độc hại với mục đích đánh cắp tài khoản Facebook của người dùng. Theo thống kê, có tới hơn 2.000 lượt cài đặt extension này trước khi bị gỡ xuống.
Các website giả mạo vẫn sử dụng các phương thức cũ, dùng icon và tên miền gần giống với website chính thức, nhưng trỏ hướng người dùng đến một trang yêu cầu điền thông tin thẻ tín dụng để mua bản cao cấp, từ đó đánh cắp thông tin thẻ. Bên cạnh đó, chúng còn phát tán mã độc bằng cách yêu cầu người dùng tải xuống ứng dụng cho Windows.
Lợi dụng ChatGPT để tạo ra mã độc và vượt qua các cơ chế bảo mật
Với khả năng viết code trong vài giây, ChatGPT có thể bị lợi dụng để tạo ra các dòng mã lệnh phục vụ những mục đích xấu. Trên nhiều diễn đàn hacker, thành viên chia sẻ công khai các đoạn code phục vụ mục đích xấu, được khai thác từ ChatGPT. Tuy các nhà phát triển đã có biện pháp để hướng ứng dụng AI này không đưa câu trả lời cho các hành động nguy hiểm, nhưng việc ngăn chặn chưa thực sự hiệu quả.
Các đoạn code được chia sẻ công khai trên diễn đàn hacker
Lợi dụng khả năng đối thoại tự nhiên, như con người của ChatGPT, tin tặc cũng có thể thực hiện lừa đảo qua tin nhắn hoặc e-mail với cơ chế tinh vi hơn, qua mặt được các công nghệ phát hiện e-mail spam.
Để tránh những mối nguy hại tiềm tàng mà chatGPT có thể tạo ra, các chuyên gia Bkav khuyến cáo:
- ChatGPT hiện chỉ được cung cấp qua 1 trang web duy nhất tại địa chỉ: https://chat.openai.com. Ngoài ra, Microsoft và OpenAI đã đưa AI được cải tiến dựa trên ChatGPT vào công cụ tìm kiếm Bing. Các trang web, ứng dụng khác đều là giả mạo, không nên sử dụng.
- Cẩn trọng hơn khi mở e-mail, đặc biệt là e-mail có đính kèm đường dẫn, file thực thi. Có thể sử dụng các công cụ như: https://sitecheck.sucuri.net/ hay https://check.spamhaus.org/ để kiểm tra đường dẫn và https://www.virustotal.com/ để kiểm tra file đính kèm.
- Nâng cao nhận thức của bản thân và của những người xung quanh để tránh bị lừa đảo.
- Sử dụng các giải pháp, phần mềm an ninh mạng trên cả nền tảng máy tính và điện thoại để bảo vệ các thiết bị khỏi những mối nguy hại.
BKAV