Как мастер ИИ использовал ChatGPT, чтобы перехитрить мошенника

Кратко

• IT-специалист из Дели утверждает, что использовал ChatGPT для создания фейкового платежного сайта, который зафиксировал местоположение и фотографию мошенника во время попытки мошенничества с “армейским переводом”.
• Пост на Reddit стал вирусным после того, как мошенник якобы впал в панику и умолял о пощаде, столкнувшись со своими собственными данными.
• Другие пользователи Reddit повторили эту технику и подтвердили, что сгенерированный ИИ код работает, подчеркнув, как генеративные инструменты меняют подходы к самостоятельной борьбе с мошенничеством.

Центр искусства, моды и развлечений Decrypt.

Откройте SCENE

Когда на его телефоне появилось сообщение от номера, утверждавшего, что это бывший коллега по учебе, IT-специалист из Дели сначала заинтересовался. Отправитель, выдавая себя за сотрудника Индийской административной службы, утверждал, что его друг из военизированных сил переводится и ему нужно срочно продать элитную мебель и бытовую технику “по бросовой цене”.

Это была классическая схема мошенничества с “армейским переводом”, широко распространенная в Индии. Но вместо того, чтобы заблокировать номер или стать жертвой схемы, цель утверждает, что решил перевернуть ситуацию с помощью той самой технологии, которую часто обвиняют в содействии киберпреступникам: искусственного интеллекта.

Мошенничество против мошенника

Согласно подробному описанию, размещенному на Reddit, пользователь с ником u/RailfanHS использовал ChatGPT от OpenAI для написания кода отслеживающего сайта. Ловушка успешно собрала местоположение мошенника и фотографию его лица, что привело к драматичному цифровому противостоянию, в ходе которого мошенник якобы умолял о пощаде.

Хотя личность пользователя Reddit не удалось независимо подтвердить, а сам человек остается анонимным, технический способ, описанный в посте, был проверен и подтвержден сообществом разработчиков и энтузиастов ИИ на платформе.

Инцидент подчеркивает растущую тенденцию “scambaiting” — самосуд, когда технически подкованные люди заманивают мошенников, чтобы потратить их время или разоблачить их деятельность — который развивается с помощью генеративного ИИ.

Событие, широко освещавшееся в Индии, началось по привычной схеме. Мошенник прислал фотографии товаров и QR-код, требуя предоплату. Притворившись, что у него возникли технические проблемы со сканированием, u/RailfanHS обратился к ChatGPT.

Он дал чат-боту ИИ задание сгенерировать функциональную веб-страницу, имитирующую платежный портал. Код, описанный как “80 строк PHP”, был тайно предназначен для захвата GPS-координат посетителя, его IP-адреса и снимка с фронтальной камеры.

Механизм отслеживания частично опирался на социальную инженерию, а не только на уязвимость программного обеспечения. Чтобы обойти стандартные меры безопасности браузера, которые обычно блокируют скрытый доступ к камере, пользователь сказал мошеннику, что нужно загрузить QR-код по ссылке для “ускорения процесса оплаты”. Когда мошенник зашел на сайт и нажал кнопку для загрузки изображения, браузер предложил разрешить доступ к камере и геолокации — разрешения, которые он поспешно предоставил, надеясь получить деньги. Изображение: RailfanHS на Reddit

“Ведомый жадностью, поспешностью и полностью доверяя внешнему виду платежного портала, он кликнул по ссылке”, — написал u/RailfanHS в треде на сабреддите r/delhi. “Я мгновенно получил его живые GPS-координаты, IP-адрес и, что особенно приятно, четкий снимок с фронтальной камеры, на котором он сидит.”

Ответная мера последовала быстро. IT-специалист отправил собранные данные обратно мошеннику. По словам автора поста, эффект был мгновенным — мошенник начал названивать, а затем завалил сообщениями с мольбами о прощении и обещаниями оставить преступную деятельность.

“Он теперь умолял, настаивал, что полностью завяжет с этим делом, и отчаянно просил дать ему еще один шанс”, — написал RailfanHS. “Разумеется, он вполне мог бы снова заниматься мошенничеством уже через час, но, черт возьми, как же приятно украсть у вора.”

Реддиторы подтверждают метод

Хотя к драматичным историям интернет-правосудия часто относятся со скепсисом, технические детали этой операции были подтверждены другими пользователями треда. Пользователь с ником u/BumbleB3333 сообщил, что успешно повторил создание “фейковой HTML-страницы” с помощью ChatGPT. Он отметил, что хотя у ИИ есть ограничения на создание вредоносного кода для скрытого наблюдения, он легко генерирует код для легитимно выглядящих сайтов, которые запрашивают разрешения у пользователя, — именно так и был пойман мошенник.

“Мне удалось сделать нечто вроде фейковой HTML-страницы с помощью ChatGPT. Она действительно захватывает геолокацию, если изображение загружается после запроса разрешения”, — прокомментировал u/BumbleB3333, подтвердив правдоподобность этого трюка. Другой пользователь, u/STOP_DOWNVOTING, заявил, что создал “этичную версию” кода, которую можно модифицировать аналогичным образом.

Автор поста, который в комментариях представился менеджером по продуктам ИИ, признал, что ему пришлось использовать специальные запросы для обхода некоторых ограничений безопасности ChatGPT. “Я как бы привык обходить эти ограничения с помощью правильных запросов”, — отметил он, добавив, что разместил скрипт на виртуальном частном сервере.

Эксперты по кибербезопасности предупреждают, что такие “ответные взломы”, хотя и приносят удовлетворение, находятся в правовой серой зоне и могут быть рискованными. Тем не менее, это очень заманчиво — и выглядит захватывающе для наблюдателей.