Як майстер штучного інтелекту використав ChatGPT, щоб перехитрити шахрая

Коротко

• Працівник IT з Делі стверджує, що використав ChatGPT для створення фальшивого платіжного сайту, який зафіксував місцезнаходження і фотографію шахрая під час спроби шахрайства з “армійським переводом”.
• Пост на Reddit став вірусним після того, як шахрай, за словами автора, запанікував і благав про пощаду, коли зіткнувся зі своїми ж даними.
• Інші користувачі Reddit повторили цей метод і підтвердили, що згенерований ШІ код може працювати, підкреслюючи, як генеративні інструменти змінюють підходи до боротьби зі шахраями своїми силами.

Хаб мистецтва, моди та розваг Decrypt.

Відкрийте SCENE

Коли на його телефон прийшло повідомлення з номера, який представлявся колишнім знайомим з університету, діллійський IT-спеціаліст спочатку зацікавився. Відправник, що видавав себе за співробітника Індійської адміністративної служби, стверджував, що його друг із парамілітарних сил переводиться і йому потрібно терміново продати дорогі меблі та техніку “майже задарма”.

Це була класична афера з “армійським переводом” — поширене цифрове шахрайство в Індії. Але замість того, щоб заблокувати номер або стати жертвою схеми, ціль стверджує, що вирішив перевернути ситуацію, використовуючи саме ту технологію, яку часто звинувачують у допомозі кіберзлочинцям: штучний інтелект.

Обдурити шахрая

Згідно з докладним описом на Reddit, користувач під ніком u/RailfanHS використав ChatGPT від OpenAI для створення “веселого коду” відстежувального сайту. Пастка успішно зібрала геолокацію шахрая та фотографію його обличчя, що призвело до драматичного цифрового зіткнення, під час якого зловмисник, за словами автора, благав про пощаду.

Хоча особу користувача Reddit не вдалося незалежно перевірити, а сама людина залишилася анонімною, технічний метод, описаний у пості, був перевірений і підтверджений спільнотою розробників і ентузіастів ШІ на платформі.

Інцидент підкреслює зростаючу тенденцію до “scambaiting” — самосуду, коли технічно підковані люди виманюють шахраїв, щоб змарнувати їхній час або викрити їхню діяльність — і цей процес еволюціонує завдяки генеративному ШІ.

Зустріч, яка отримала широкий розголос в Індії, почалася за знайомим сценарієм. Шахрай надіслав фотографії товарів і QR-код, вимагаючи передоплату. Імітуючи технічні проблеми зі скануванням, u/RailfanHS звернувся до ChatGPT.

Він дав чат-боту ШІ завдання згенерувати функціональний вебсайт, який імітує платіжний портал. Код, описаний як “PHP-сторінка на 80 рядків”, був таємно створений для збору GPS-координат відвідувача, IP-адреси та фото з фронтальної камери.

Механізм відстеження частково спирався на соціальну інженерію, а не лише на програмний експлойт. Щоб обійти захист браузера, який зазвичай блокує безшумний доступ до камери, користувач сказав шахраю, що йому потрібно завантажити QR-код за посиланням, аби “прискорити процес оплати”. Коли шахрай відвідав сайт і натиснув кнопку для завантаження зображення, браузер попросив дозволи на доступ до камери і геолокації — і ті були надані, бо шахрай поспішав отримати гроші. Зображення: RailfanHS на Reddit

“Ведений жадібністю, поспіхом і цілковитою довірою до зовнішнього вигляду платіжного порталу, він натиснув посилання,” — написав u/RailfanHS у гілці на сабреддіті r/delhi. “Я миттєво отримав його живі GPS-координати, IP-адресу і, що найприємніше, чітке фото з фронтальної камери, де він сидить.”

Відплата була швидкою. IT-спеціаліст надіслав зібрані дані назад шахраю. За словами посту, це викликало миттєву паніку. Телефон шахрая почав обривати користувача дзвінками, а потім прийшли повідомлення з благаннями про прощення і обіцянками кинути злочинне життя.

“Він тепер благав, наполягав, що повністю залишить цю діяльність, і відчайдушно просив ще один шанс,” — написав RailfanHS. “Звісно, він міг би вже за годину обдурювати когось іншого, але, о, яке ж це задоволення — обікрасти злодія!”

Редитори підтверджують метод

Хоча драматичні історії інтернет-правосуддя часто викликають скептицизм, технічну основу цієї операції підтвердили й інші користувачі в гілці. Користувач з ніком u/BumbleB3333 повідомив, що зміг успішно повторити “фейкову HTML-сторінку” за допомогою ChatGPT. Вони зазначили, що хоча ШІ має обмеження на створення шкідливого коду для прихованого спостереження, він легко генерує код для легітимних на вигляд сайтів, які запитують дозволи користувача — саме так і був спійманий шахрай.

“Я зміг зробити щось на кшталт фейкової HTML-сторінки з ChatGPT. Вона дійсно збирає геолокацію, коли зображення завантажується після надання дозволу,” — прокоментував u/BumbleB3333, підтверджуючи правдоподібність хаку. Інший користувач, u/STOP_DOWNVOTING, заявив, що створив “етичну версію” коду, яку можна модифікувати для подібного використання.

Оригінальний автор, який у коментарях представився менеджером продукту з ШІ, визнав, що йому довелося використовувати спеціальні підказки, щоб обійти частину захисних механізмів ChatGPT. “Я звик обходити ці обмеження правильними підказками,” — зазначив він, додавши, що розмістив скрипт на віртуальному приватному сервері.

Експерти з кібербезпеки застерігають, що такі “контратаки” хоч і приносять задоволення, але знаходяться в юридичній сірій зоні і можуть бути ризикованими. Все одно, це дуже спокусливо — і виглядає як задовільне видовище для глядачів.