Openai’nin ChatGPT markasını kullanan sofistike bir kimlik avı operasyonu, Kuzey Amerika ve Avrupa’da 12.000’den fazla kullanıcıyı hedef aldı.
Kampanya, Platform’un GPT-4 API ve ChatGPT Plus hizmetleri için kısıtlı erişim modelinden yararlanarak, giriş bilgileri ve ödeme ayrıntılarını hasat etmek için ChatGPT aboneliği yenileme bildirimlerini taklit ediyor.
Sosyal Mühendislik Teknik Gizliliği Karşılıyor
Kimlik avı e-postaları, aciliyet tetikleyicilerini, marka kimliğine bürünme ve alan sahtekarlığı birleştiren çok katmanlı bir yaklaşım kullanır.
Tipik bir mesaj, “Gerekli Eylem: Aylık 24 $ Aboneliğe sahip ChatGpt’e Güvenli Erişim” konusunu içerir ve Gönderen Adresini Noreply@Chatgpt-Auth olarak paro taşır[.]Net – Kampanya başlamadan sadece 72 saat önce Privacyguardian.org aracılığıyla kaydedilen bir alan adı.
E -posta gövdesi, resmi logo ve renk şeması (#10A37F) dahil olmak üzere meşru Openai iletişiminden klonlanan HTML/CSS içerir. Bununla birlikte, adli analiz üç kritik anomali ortaya koymuştur:
Homograf alanı: “Faturalandırma güncelleme” düğmesi Chatgpt ödemesine bağlantılar[.]”Chatgpt-Pаyment olarak görüntülenmek için punycode kullanan çevrimiçi[.]Çevrimiçi ”(Kiril ‘а’ ile).
Base64 Gizli: Gömülü URL hxxps: // 185[.]63[.]112[.]44/.well-bewn/auth, önceki Rhadamanthys kötü amaçlı yazılım kampanyalarına bağlı bir IP.
Oturum çerez enjeksiyonu: Form sunulması üzerine site, AES şifreli kurban meta verilerini içeren kalıcı güvenli bir çerez kurar.
Symantec’in saldırı zincirinin ters mühendisliği, kimlik avı kitinin kişiselleştirilmiş içerik oluşturmak için ChatGPT’nin kendi API’sini (v4.8.1) kullandığını gösterir.
Azaltma stratejileri
Güvenlik firması işletmeleri önerir:
- DMARC politikalarını P = AI ile ilgili tüm alanlar için reddetme ile uygulayın
- TLS-RPT ekleyin (URI raporlama: Mailto:[email protected]) sahtekarlık girişimlerini izlemek için
- XN-Chatgpt-[a-z0-9]{6} e -posta ağ geçidinde
Bu kampanya, yapay zeka ile çalışan siber suçlardaki daha geniş eğilimleri yansıtmaktadır.
Checkpoint 2023’ten bu yana chatgpt temalı alanlarda% 910 artış bildirirken, Palo Alto’nun Unit42’si AI kimlik avı altyapısında% 17.818 büyüme buldu.
Openai’nin dahili günlükleri, sadece 4,2. çeyrekte kötü amaçlı içerik üretimi için kullanılan 2.403 uzlaşmış API anahtarını, bir önceki çeyreğe göre% 647’lik bir artış gösteriyor.
Saldırganlar taktiklerini geliştirdikçe, ödeme iş akışlarının sürekli olarak doğrulanması ve çok faktörlü kimlik doğrulamanın (MFA) uygulanması kritik olmaya devam etmektedir.
Araştırmacılar, kurbanlara API anahtarlarını iptal etmelerini ve Openai’nin gösterge paneli üzerinden kimlik bilgilerini döndürmelerini tavsiye ediyor (IAM> API Keys> Döndür). ChatGPT ekibi, 2,2825 yılına kadar abonelik yenilemeleri için CAPTCHA zorlukları getirme sözü verdi.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun