- Cybersecuritybedrijven zien steeds meer aanwijzingen dat ChatGPT gebruikt wordt door cybercriminelen.
- ChatGPT kan makkelijk en snel phishingmails opstellen, of programmeertaal genereren die gebruikt kan worden voor cyberaanvallen.
- AI-bedrijven zouden verantwoordelijk gehouden moeten worden voor het gebruik van hun producten door cybercriminelen, stellen experts.
- Lees ook: Crypto-oplichters proberen in te spelen op de hype rond artificial intelligence met scams rond ChatGPT
Of het nu gaat om het schrijven van opstellen of het analyseren van gegevens, ChatGPT kan worden gebruikt om iemands werklast te verlichten. Dus ook die van cybercriminelen.
Cybercriminelen zetten de kracht van de kunstmatige intelligentie in om stukken programmeertaal te schrijven die kunnen worden gebruikt bij bijvoorbeeld een ransomwareaanval, stelt hoofdonderzoeker van ChatGPT Sergey Shykevich van cyberbeveiligingsbedrijf Checkpoint Security.
Het team van Shykevich begon in december 2021 het gebruik van AI, oftewel artificial intelligence, bij cybermisdaden te analyseren. Met behulp van de AI-technologie achter ChatGPT creëerden ze phishing e-mails en kwaadaardige broncode. Al snel werd duidelijk dat ChatGPT voor illegale doeleinden kon worden gebruikt, maar de teamleden wilden achterhalen of hun bevindingen slechts “theoretisch” waren of dat ze “slechteriken konden vinden die het in ook daadwerkelijk gebruikten.”
Omdat het moeilijk te zeggen is of een schadelijke e-mail in iemands inbox is geschreven door ChatGPT, wendde het team zich tot het dark web om te zien hoe mensen de applicatie gebruikten.
Op 21 december 2022 vonden ze hun eerste bewijs: cybercriminelen gebruikten de chatbot om een script te maken dat je kunt inzetten voor malware-aanval. De broncode bevatte enkele fouten, maar veel ervan was correct, aldus Shykevich: "Wat interessant is, is dat de jongens die het bericht plaatsten, nog nooit iets ontwikkeld hadden."
ChatGPT en Codex, een OpenAI-dienst die softwarecode kan schrijven voor programmeurs, stellen "minder ervaren mensen in staat om software te ontwikkelen", aldus Shykevich.
Misbruik van ChatGPT baart cyberbeveiligingsdeskundigen zorgen. Mogelijk helpen chatbots bij phishing, malware en hackaanvallen, aldus de experts.
De drempel voor het starten met phishing-aanvallen ligt al laag, stelt Darktrace-directeur voor cyber intelligence en analytics Justin Fier. ChatGPT zou het nog makkelijker kunnen maken om op efficiënte wijze tientallen gerichte phishing-e-mails op te stellen. Wel moeten de criminelen ChatGPT daarbij voorzien van de juiste input.
"Bij phishing draait het allemaal om volume", zegt Fier. "Stel dat je 10.000 zeer gerichte e-mails hebt waardoor er in plaats van 100, nu 3- of 4.000 klikken. Dat is enorm, en het draait allemaal om dat gericht mailen."
Een 'sciencefictionfilm'
74 procent van de IT-deskundigen geeft aan zich zorgen te maken over ChatGPT als hulpmiddel bij cybercriminaliteit, bleek begin februari uit onderzoek door cyberbeveiligingsbedrijf Blackberry onder 1.500 IT-experts.
71 procent denkt bovendien dat ChatGPT al door overheden wordt gebruikt om andere landen aan te vallen met hack- en phishingpogingen.
"Het is algemeen bekend dat mensen met kwade bedoelingen de wateren testen. We verwachten dat hackers in de loop van dit jaar veel beter doorkrijgen hoe ze ChatGPT succesvol kunnen gebruiken voor snode doeleinden", schreef Chief Technology Officer van Cybersecurity Shishir Singh van BlackBerry, in een persbericht.
Deze angsten zijn het gevolg van de snelle ontwikkeling van AI in het afgelopen jaar, zegt Singh. Deskundigen wijzen erop dat de vooruitgang in deze 'large language models' (LLM's) sneller is gegaan dan verwacht. Ze zijn al beter in staat menselijke spraak na te bootsen.
Singh beschrijft de snelle vooruitgang als iets uit een sciencefictionfilm. "Wat we de afgelopen negen tot tien maanden hebben gezien, zien we alleen in Hollywood", zegt Singh.
Het gebruik van cybercriminaliteit zou een probleem kunnen zijn voor OpenAI
Nu ook cybercriminelen software als ChatGPT gebruiken, stellen deskundigen hardop de vraag of de makers van de AI enige verantwoordelijkheid voor deze misdaden dragen.
Zou een chatbot zoals ChatGPT iemand aanzetten tot het plegen van cybercriminaliteit, dan is dit mogelijk de verantwoordelijkheid van bedrijven die deze chatbots aanbieden, meent voormalig Amerikaans openbaar aanklager Edward McAndrew. Hij werkte eerder samen met het Amerikaanse ministerie van Justitie bij een onderzoek naar cybercriminaliteit.
Amerikaanse techbedrijven sturen in dit soort gevallen vaak aan op sectie 230 van de Communications Decency Act van 1996. Deze wet regelt dat aanbieders van sites waarop mensen content kunnen plaatsen - zoals Facebook of Twitter - niet verantwoordelijk zijn voor wat er geplaatst wordt op hun platforms.
Het zou in dit geval echter niet opgaan, omdat de chatbot zelf de content plaatst. Volgens McAndrew betekent dit dat de wet bedrijven als OpenAI mogelijk niet beschermt tegen civiele rechtszaken of vervolging.
ChatGPT kan een "schat aan informatie" opleveren als bedrijven als OpenAI gedagvaard kunnen worden, voegt McAndrew daaraan toe.
Er zou een discussie moeten plaatsvinden over hoe we wereldwijd met AI omgaan, denkt McAndrew. Volgens de voormalig openbaar aanklager moeten er parameters vastgesteld worden voor AI- en techbedrijven.
95 procent van de IT-experts geeft in de Blackberry-enquête aan dat overheden verantwoordelijk moeten zijn voor het opstellen van regelgeving en de controle op naleving daarvan.
Regulering kan desalniettemin een uitdaging zijn, denkt McAndrew, aangezien er niet één instantie is die exclusief belast is met het creëren van mandaten voor de AI-industrie. Ook gaat de kwestie van AI-technologie verder dan landsgrenzen.
"We zullen internationale coalities en normen rond cybergedrag moeten opstellen. Ik verwacht dat het tientallen jaren gaat duren om dat te voor elkaar te krijgen, als we ooit zover komen."
De technologie is nog steeds niet perfect voor cybercriminelen
Er is wel iets waardoor ChatGPT het cybercriminelen moeilijker zou kunnen maken: de AI-software staat erom bekend fouten te maken. Dat kan een probleem vormen voor cybercriminelen die proberen een e-mail op te stellen die bedoeld is om iemand anders na te bootsen, vertellen experts aan Insider.
In de broncode die Shykevich en zijn collega's op het dark web vonden, zaten ook fouten. Het team moest die corrigeren voordat de code ingezet kon worden bij oplichting.
Bovendien blijft ChatGPT beperkingen implementeren die illegale activiteiten ontmoedigen. Maar deze beperkingen kunnen relatief makkelijk worden omzeild.
Shykevich wijst erop dat sommige cybercriminelen nu vooral gebruikmaken van alternatieve chatbots die achter de schermen gebruikmaken van de technologie achter ChatGPT. Dit zijn vaak opensourceversies die niet dezelfde inhoudsbeperkingen hebben als de officiële versie van ChatGPT.
Shykevich zegt ook dat ChatGPT op dit moment niet kan helpen bij het maken van geavanceerde malware. Ook kan het geen valse websites bouwen die zich bijvoorbeeld voordoen als de website van een prominente bank.
Maar het behoort tot de mogelijkheden in de nabije toekomst. De ontwikkeling van de chatbots is namelijk in een stroomversnelling gekomen door de 'AI-oorlog' die tussen de techgiganten gaande is, vertelt Shykevich aan Insider.
"Ik ben bezorgd over de toekomst. En het lijkt nu dat die toekomst er niet pas over vier tot vijf jaar is, maar zich eerder binnen een jaar of twee al meldt."