Những kẻ tấn công luôn tận dụng những loại vấn đề nóng: COVID-19, crypto, mùa thuế hay những thứ tương tự. Và với sự gia tăng của ChatGPT, họ không bỏ sót.

Trong 4 tháng đầu năm 2023, các nhà nghiên cứu của Check Point đã theo dõi 13.296 tên miền mới được đăng ký liên quan đến Open AI và ChatGPT. Theo nghiên cứu mới nhất từ công ty, một trong 25 tên miền đó có chứa mã độc.

Các trang web giả nhìn thấy mối quan hệ của chúng với ChatGPT một cách rõ ràng, ví dụ như:

  • chat-gpt-online-pc.com
  • chatgpt4beta.com
  • chatgptdetectors.com
  • chat-gpt-ai-pc.info
  • chat-gpt-for-windows.com
  • Một số trang web giả đơn giản sao chép trang đích thực của OpenAI càng giống càng tốt:

Nguồn: Check Point ResearchNhững trang web giả khác lại sử dụng một cách tiếp cận khác. Thay vì giả mạo OpenAI, họ giả vờ cung cấp các dịch vụ liên quan.

Ví dụ, trang đích thực sau giả mạo đề xuất cung cấp phần mềm phát hiện văn bản ChatGPT, điều mà giới giáo viên đặc biệt yêu cầu trong những tháng gần đây:

  • Nguồn: Check Point ResearchNgoài mối đe dọa đối với cá nhân, “có hai vấn đề tiềm năng chính ở đây cho các doanh nghiệp,” Omer Dembinsky, quản lý nhóm dữ liệu tại Check Point Software, và là người dẫn đầu nghiên cứu, nhấn mạnh.
Screenshot of fake OpenAI/ChatGPT home page.

“Một vấn đề là các nhân viên có thể tải xuống các tệp và ứng dụng độc hại từ những trang web đó, từ đó cung cấp cho tội phạm mạng một vị trí ổn định đầu tiên trên mạng nội bộ của công ty,” ông nói. “Vấn đề thứ hai là những trang web bắt chước ChatGPT tốt đến mức các nhân viên có thể sa vào bẫy và có thể gửi các truy vấn có chứa thông tin doanh nghiệp nhạy cảm đến những trang web giả đó.”

Fake landing page for a service that purports to detect the use of ChatGPT.

Làm gì để tránh sa vào một trong những chiếc bẫy này? Các nhà nghiên cứu khuyến khích sự chú ý và vệ sinh cơ bản về tình trạng lừa đảo qua email. Cụ thể:

  • Không trả lời, không nhấp vào các liên kết hoặc mở các tệp đính kèm trong email xác minh không được xác thực
  • Báo cáo email đáng ngờ cho đội IT hoặc bảo mật của bạn
  • Xóa email đáng ngờ
  • Cẩn thận trước các tên miền giống nhau hoặc giả mạo
  • Tuy nhiên, các nhà nghiên cứu cảnh báo rằng “mặc dù nhận thức về các chiến thuật lừa đảo thông thường và kiến thức về các phương pháp tốt nhất chống lại lừa đảo qua email rất quan trọng, các cuộc tấn công lừa đảo hiện đại đủ phức tạp để một số lúc sẽ luôn trượt qua.”
  • Vì vậy, ông Dembinsky cho biết, các doanh nghiệp cần phải giáo dục nhân lực của họ và triển khai các biện pháp chống lừa đảo qua email hiệu quả.