ChatGPT kao novo oružje hakera: Kako se zaštititi od prevara nove generacije?

Svi smo bar jednom dobili onaj čuveni email od „nigerijskog princa“ koji nam nudi milione, napisan na nespretnoj mešavini srpskog i engleskog jezika. Sa podsmehom smo ga brisali, sigurni u svoju sposobnost da prepoznamo prevaru. Međutim, ta vremena su prošlost. Danas, prevaranti imaju novo, moćno oružje koje te emailove čini gotovo savršenim – veštačku inteligenciju poput ChatGPT-ja.

Nedavne analize vodećih svetskih tehnoloških kompanija, uključujući Microsoft i Google, otkrile su alarmantan trend: hakerske grupe povezane sa Severnom Korejom aktivno koriste velike jezičke modele (LLM) kako bi svoje sajber napade podigle na zastrašujuće efikasan nivo. Ovo menja pravila igre i zahteva novi nivo opreznosti od svih nas.

Evolucija prevare: Od loše gramatike do savršenog emaila

Do juče, glavni znak raspoznavanja phishing (pecanje) emaila bio je upravo loš jezik. Gramatičke greške, čudne formulacije i nelogičan red reči bili su crvene zastavice koje su nam signalizirale da nešto nije u redu. To se dešavalo jer napadači često nisu maternji govornici jezika na kojem pišu, a njihovi prevodilački alati bili su daleko od savršenih.

Sada, uz pomoć ChatGPT-ja, haker može uneti osnovnu ideju na svom jeziku i za nekoliko sekundi dobiti savršeno sročen tekst na tečnom srpskom, engleskom ili bilo kom drugom jeziku. Tekst koji je gramatički ispravan, stilski uglađen i prilagođen kontekstu, bez ijednog traga da ga nije pisao čovek.

Kako hakeri pretvaraju AI u saučesnika?

Severnokorejski hakeri, poznati po svojoj sofisticiranosti i upornosti (grupe poput Lazarus ili Kimsuky), ne koriste AI samo za lektorisanje. Njihova primena je daleko podmuklija.

1. Pisanje ubedljivih phishing emailova: Ovo je osnovna primena. Mogu kreirati lažne emailove koji izgledaju kao zvanična obaveštenja od banaka, Pošte Srbije, kurirskih službi ili čak državnih institucija. AI im pomaže da koriste tačan ton, stručnu terminologiju i formatiranje koje očekujete od legitimnog pošiljaoca.
2. Istraživanje mete i personalizacija napada: Pre napada, hakeri koriste AI da brzo obrade javno dostupne informacije o meti – bilo da je to pojedinac ili kompanija. Analizirajući LinkedIn profile, vesti i objave na društvenim mrežama, AI im pomaže da osmisle visoko personalizovan napad, poznat kao spear-phishing. Zamislite da dobijete email od „kolege“ sa drugog odeljenja koji pominje projekat na kojem zaista radite. Šanse da ćete kliknuti na link u takvom emailu drastično rastu.
3. Kreiranje malicioznog koda: Iako AI modeli imaju zaštitne mehanizme protiv generisanja opasnog koda, hakeri pronalaze načine da ih zaobiđu. Oni koriste AI da im pomogne u pisanju delova malicioznog softvera, skripti za automatizaciju napada ili rešavanju problema u kodu, čime značajno ubrzavaju svoj rad.

Opasnost na lokalnom nivou: Kako ovo utiče na vas u Srbiji?

Ova pretnja nije negde daleko – ona je već ovde. Sajber kriminalci koji ciljaju korisnike u Srbiji sada imaju alat da svoje prevare učine gotovo neprepoznatljivim.

• Lažna obaveštenja kurirskih službi: Možete dobiti savršeno sročen SMS ili email koji tvrdi da je „Vaš paket zadržan na carini“ i da je potrebno da platite malu taksu klikom na link. Link, naravno, vodi ka stranici koja krade podatke o vašoj platnoj kartici.
• Emailovi od „banke“: Email koji vas obaveštava o „sumnjivoj aktivnosti“ na vašem računu i traži da se hitno ulogujete preko priloženog linka da potvrdite identitet. Stranica na koju link vodi je klonirana stranica vaše banke.
• Poslovne prevare (BEC – Business Email Compromise): Zaposleni u finansijama može dobiti email koji izgleda kao da ga je poslao direktor kompanije, sa hitnim nalogom za uplatu novca na novi račun dobavljača. Tekst je besprekoran, a žurba je ključni element socijalnog inženjeringa.

Vaš digitalni štit: Konkretni koraci za zaštitu

U ovoj novoj eri prevara, tehnologija sama po sebi nije dovoljna. Ljudska intuicija i zdrava doza sumnje postaju najvažnija linija odbrane.

Za pojedince:

1. Uvek proverite adresu pošiljaoca: Ne gledajte samo ime, već punu email adresu. Hakeri često koriste adrese koje su vrlo slične originalnim (npr. info@posta-srbije.rs umesto info@posta.rs).
2. Nikada ne klikćite na linkove u žurbi: Zastanite na sekund. Pređite mišem preko linka (bez kliktanja) da vidite stvarnu adresu na koju vodi. Ako je sumnjiva, ne klikćite.
3. Budite skeptični prema hitnosti i pretnjama: Prevaranti stvaraju osećaj panike („Vaš nalog će biti ugašen,“ „Poslednja opomena“). Legitimne kompanije retko komuniciraju na taj način.
4. Uključite dvofaktorsku autentifikaciju (2FA): Gde god je moguće (email, društvene mreže, e-banking), uključite 2FA. To je dodatni sloj zaštite čak i ako vam neko ukrade lozinku.

Za kompanije:

1. Redovna obuka zaposlenih: Najslabija karika u sistemu bezbednosti je čovek. Organizujte redovne treninge i simulacije phishing napada kako bi zaposleni naučili da prepoznaju pretnje.
2. Koristite napredna rešenja za email sigurnost: Implementirajte filtere koji koriste AI za prepoznavanje sumnjivih obrazaca u dolaznoj pošti.
3. Uspostavite procedure provere: Za osetljive radnje, poput promene broja računa za plaćanje ili hitnih uplata, uvedite obaveznu proceduru dvostruke provere putem drugog kanala (npr. telefonski poziv).

Zaključak: Trka između AI napadača i AI branilaca

Veštačka inteligencija je dvosekli mač. Dok je sajber kriminalci koriste za usavršavanje napada, stručnjaci za sajber bezbednost je koriste za stvaranje moćnijih sistema odbrane. U toku je nevidljiva trka u naoružanju koja se odvija u digitalnom svetu.

Ipak, u toj trci, najvažniji faktor ostajete vi – informisan i oprezan korisnik. Tehnologija se menja, ali principi socijalnog inženjeringa ostaju isti. Vaša sposobnost da zastanete, razmislite i proverite pre nego što kliknete, i dalje je najjači štit koji posedujete.