קופידון, מאחוריך: האקרים מנצלים GPT כדי להונות באפליקציות היכרויות

ההאקרים לא מבזבזים זמן: הם מנצלים את הופעת הבינה המלאכותית היוצרת לטובת עריכה של עוד הונאות, מתוחכמות יותר. כך, נחשף עוד סוג של CryptoRom, סוג חדש ומתוחכם של הונאת "פיטום חזירים" (Pig butchering – 'שה זו פאן'), שמטרתו להערים על משתמשי אפליקציות היכרויות להשקיע במטבעות קריפטוגרפים דרך אתרי מסחר שנמצאים בשליטת פושעי הסייבר – ובדרך זו לגנוב את כספם; כך לפי מחקר חדש של סופוס (Sophos).

במאי האחרון, הבחינו חוקרי צוות Sophos X-Ops, כי הונאות ה-CryptoRom הופכות למתוחכמות יותר וכי פושעי הסייבר הוסיפו לארגז הכלים שלהם גם צ'אטבוט מבוסס בינה מלאכותית, דוגמת ChatGTP לביצוע ההונאות. עברייני הסייבר גם שכללו את שיטות העבודה שלהם ועברו לבצע סחיטה כפולה: הם מספרים לקורבנותיהם שחשבון המטבעות המבוזרים שלהם נפרץ, ולכן עליהם לשלם פעם נוספת – כדי שיוכלו למשוך את כספם.

כך נראית ההונאה. צילום: סופוס

החוקרים גילו גם, כי עברייני הסייבר הצליחו לשתול שבע אפליקציות זדוניות בחנויות האפליקציות App Store ו-Google Play, שמגדילות את מספר הקורבנות הפוטנציאליים ומקילות על ביצוע ההונאה. בשנה החולפת, הונאות משקיעים גרמו להפסדים בסך 3.31 מיליארד דולרים בארה"ב לבדה. אלו הובילו על כל סוגי ההונאות שעליהן דיווח הציבור ל-FBI. הונאות קריפטוגרפיות, ובכלל זה הונאות מסוג "פיטום חזירים", מהוות את חלק הארי של ההונאות: הן גדלו ב-183% והסבו הפסדים של 2.57 מיליארד דולרים, לעומת 2021.

אחד מהקורבנות האחרונים פנה לחוקרי סופוס, ואלו גילו, כי בראשונה, מבצעי הונאות ה-CryptoRom החלו להשתמש בצ'אטבוט מבוסס בינה מלאכותית. ככל הנראה ChatGPT. הם יצרו קשר עם הקורבן דרך אפליקציית לימוד השפה Tandem, המשמשת גם כאפליקציית היכרויות, ושכנעו את הקורבן להמשיך את השיחה בוואטסאפ. חשדו התעורר כשקיבל הודעה ארוכה, שלפחות בחלקה נוסחה על ידי צ'אטבוט מבוסס AI, הבנוי על מודלי שפה גדולים (LLM).

לדברי שון גלאגר, חוקר איומים ראשי בסופוס, "זה היה רק עניין של זמן – מאז ש-OpenAI שחררה את ChatGPT – עד שפושעי הסייבר ירתמו את הכלי החדש לביצוע הונאות. בראשונה, יש בידינו ראיות מוצקות לכך שזה אכן קורה כבר בשטח".

"אחד האתגרים הגדולים של הונאות CryptoRom", הוסיף גלאגר, "הוא הצורך לקיים שיחות משכנעות בעלות אופי רומנטי עם הקורבנות לאורך זמן. שיחות אלו נוהלו על ידי keyboarders, בדרך כלל מאסיה, כשלא אחת מחסום השפה עורר חשדות והסגיר את התרמית. שימוש בצ'אטבוט כמו ChatGTP מקטין את מאמץ ההונאה, מסייע לעבריינים לרכוש את אמונם של הקורבנות ביתר קלות ומאפשר לנהל שיחות עם כמה קורבנות במקביל".

עוד חשפו החוקרים שיטה חדשה, שמטרתה לגנוב מהקורבנות סכום כסף גדול עוד יותר. בהונאה המסורתית, כשביקשו הקורבנות למשוך את כספי ה"רווחים" שצברו, נאמר להם כי קודם כל עליהם לשלם מס רווחי הון בשיעור 20%. לפי קורבן ההונאה האחרונה, לאחר העברת המקדמה עבור מס רווחי ההון, המציאו העבריינים סיפור שלפיו החשבון שלו נפרץ ועליו להעביר מקדמה נוספת, בשיעור 20% – לפני שיוכל למשוך את כספו.

כך, החוקרים חשפו שבע אפליקציות זדוניות למסחר במטבעות מבוזרים, שההאקרים הצליחו לשתול בחנויות האפליקציות App Store ו־Google Play. במבט ראשון, דבר באפליקציות אלו לא מעורר חשד. אך ברגע שהמשתמשים פותחים אותה, מוצג להם ממשק של פלטפורמת מסחר במטבעות מבוזרים, הנמצאת בשליטת עברייני הסייבר.

כדי להערים על תהליך הבדיקה ומנגנוני הפיקוח של חנות האפליקציות של אפל, וכדי שלא לעורר חשד, הגישו פושעי הסייבר את האפליקציה לאישור כשהיא מפנה לאתר לגיטימי עם תוכן מתאים לתיאור האפליקציה. מיד עם אישורה ופרסומה בחנות האפליקציות, הם שינו את הקוד כך שיציג את ממשק פלטפורמת המסחר הזדונית. החוקרים ציינו,כי קיים דמיון רב בין שבע האפליקציות האלו. רובן מתבססות על אותן תבניות ומשתמשות בתיאורים דומים, מה שמעלה חשד כי מאחוריהן עומדות קבוצה אחת או שתיים לביצוע הונאות מסוג "פיטום חזירים".

גלאגר ציין, כי "לפני שהם מצאו דרך לשתול את האפליקציות הזדוניות בחנות האפליקציות של אפל, ההאקרים נאלצו להשתמש בשיטות מסורבלות כדי לטרגט משתמשי iOS, מה שהיה עלול לעורר את חשד הקורבנות. כעת, כשהאפליקציות זמינות בחנות הרשמית, הקורבנות פחות חשדניים וקל יותר להונות אותם. יתרון נוסף הוא, שמאוד קל לחזור ולהשתמש באותן אפליקציות עם שינויים קלים בלבד, כך שלא נדרש מאמץ פיתוח מיוחד".