מתקפות סייבר
מחקר מציג כיצד פושעי סייבר משתמשים באפליקציות ChatGPT מזוייפות כדי להונות משתמשים ולגרוף אלפי דולרים
סופוס (Sophos), חברת אבטחת המידע והסייבר מובילת השוק וספקית פתרונות אבטחת סייבר כשירות, פרסמה היום כי חשפה שורה של אפליקציות המתחזות לאפליקציות לגיטימיות של הצ'טבוט ChatGPT במטרה להערים על משתמשים לשלם עבור מינוי שלא ייתן להם שום ערך וכך לגרוף אלפי דולרים בחודש. פרטי ההונאה מתוארים בסקירה האחרונה שפרסם צוות Sophos X-Ops—FleeceGPT Mobile Apps Target AI-Curious to Rake in Cash. האפליקציות מצאו את דרכן אל חנויות האפליקציות Google Play של גוגל ו־App Store של אפל ומכיוון שהגרסאות המוצעות להורדה ללא תשלום מוגבלות מאוד ומלאות בפרסומות, הן מעודדות משתמשים שלא חושדים בכלום ובטוחים שהורידו אפליקציה לגיטימית לשלם עבור מינוי סכומים שיכולים להגיע למאות דולרים בשנה.
"מאז ומתמיד ניצלו נוכלים אופנות חדשות בתחום הטכנולוגיה כדי לגרוף רווחים מהירים ולרפד את כיסיהם. כך גם הפעם עם העניין הרב שיוצר הצ'טבוט ChatGPT. ההתלהבות והסקרנות סביב השימוש בבינה מלאכותית (AI) וצ'טבוטים המבוססים עליה נמצאים היום בשיא ההייפ ומשתמשים שמחפשים להתנסות בשימוש בטכנולוגיה החדשה עלולים מבלי לשים לב להוריד מחנויות האפליקציות App Store ו־Google Play אפליקציות המתחזות לצ'טבוט ChatGPT. האפליקציות האלו, שסופוס מכנה בשם Fleeceware (גוזלה) עמוסות בפרסומות במטרה להתיש את המשתמשים ולעודד אותם לשלם עבור מינוי. המפתחים בונים על כך שבלהט הרגע לא ישימו המשתמשים לב למחיר או פשוט יישכחו לבטל את המינוי כשיאבדו עניין באפליקציה ויסירו אותה בתום תקופת הניסיון מבלי להיות מודעים כי הם ממשיכים לשלם עבורה כל שבוע או חודש," מסביר שון גלאגר, חוקר איומים ראשי בסופוס.
בסך הכול, חקר צוות Sophos X-Ops חמש אפליקציות Fleeceware שטוענות לשימוש באלגוריתם של ChatGPT. בחלק מהמקרים, כמו למשל במקרה של אפליקציית Chat GBT, בחרו המפתחים שם דומה מאוד לשם ChatGPT כדי לשפר את דירוג האפליקציה בתוצאות החיפוש בחנויות האפליקציות Google Play ו־App Store. בעוד שחברת OpenAI מציעה את הפונקציונליות הבסיסית של הצ'טבוט ChatGPT ללא תשלום, גבו האפליקציות האלו מהמשתמשים סכומים שנעו בין 10 דולר לחודש ל־70 דולר בשנה. הגרסה של אפליקציית Chat GBT למערכת ההפעלה iOS נקראה Ask AI Assistant וגבתה מהמשתמשים 6 דולר בשבוע – או 312 דולר בשנה – לאחר שלושת ימי הניסיון הראשונים שניתנו ללא תשלום, ובחודש מרץ לבדו הכניסה למפתחים 10,000 דולר. אפליקציית Fleeceware נוספת בשם Genie הערימה על משתמשים להירשם למינוי שעלותו 7 דולר בשבוע או 70 דולר בשנה, ובחודש האחרון הכניסה למפתחים מיליון דולר.
המאפיינים הבולטים של אפליקציות Fleeceware, שהתגלו לראשונה על ידי סופוס בשנת 2019, הם גביית תשלום ממשתמשים עבור פונקציונליות שמוצעת בחינם במקום אחר ושימוש בשיטות הנדסה חברתית ושיטות מפוקפקות נוספות כדי לשכנע ולעודד משתמשים לשלם עבור מינוי. בדרך כלל, מציעות האפליקציות תקופת ניסיון קצרה שבמהלכה מוצגות למשתמשים המון פרסומות לצד מגבלות שימוש, שלא מאפשרת לעשות כמעט כלום מבלי לשלם קודם. האפליקציות האלו מתוכננות וכתובות בצורה רשלנית, כך שלא פעם אין בהן ערך גם לאחר התשלום והסרת הפרסומות ומגבלות השימוש. דרך נוספת שבה מערימים המפתחים על המשתמשים היא באמצעות זיוף חוות דעת חיוביות של משתמשים בחנויות האפליקציות או ביקורת לא אמינות שמושגות באמצעות נדנוד בלתי פוסק למשתמשים חדשים שהורידו את האפליקציה לדרג אותה בחנות האפליקציות עוד לפני שהסתיימה תקופת הניסיון.
"אפליקציות Fleeceware תוכננות מהיסוד להלך על הקו הדק שבין המותר והאסור במדיניות השימוש של חנויות האפליקציות של גוגל ואפל, ומפני שהן נזהרות לא להפר את כללי אבטחת המידע או הגנת הפרטיות רק לעיתים רחוקות הן נפסלות על ידי חנויות האפליקציות בשלב הבדיקה והאישור. אמנם מאז שפרסמנו לראשונה על קיומן של אפליקציות Fleecewre בשנת 2019 פרסמו גוגל ואפל הנחיות חדשות במטרה לרסן את התפשטותן, אך המפתחים מוצאים דרכים חדשות לעקוף את המדיניות החדשה כמו למשל הגבלה משמעותית של הפונקציונליות עד לתשלום עבור מינוי. בעוד שרוב אפליקציות ה־Fleeceware המתחזות ל־ChatGPT שסקרנו הפעם כבר הוסרו מחנויות האפליקציות, אחרות כבר הספיקו לתפוס את מקומן וסביר שמספרן רק ילך ויגדל. הדרך הטובה ביותר להתגונן מפניהן היא העלאת מודעות. משתמשים צריכים לדעת על קיומן של האפליקציות האלו ולהקפיד לקרוא בעיון את האותיות הקטנות לפני שהם משלמים עבור מינוי באפליקציות מסוג זה. כמו כן, יכולים המשתמשים לדווח לאפל וגוגל במקרים שבהם עולה חשד כי המפתחים משתמשים בשיטות מפוקפקות לעידוד תשלומים", מסכם גלאגר.
כל האפליקציות המופיעות בסקירה דווחו לאפל ולגוגל. משתמשים שכבר הורידו את האפליקציות האלו צריכים לעקוב אחרי ההוראות של חנות האפליקציות App Store או Google Play, בהתאם לסוג המכשיר שבו הם משתמשים, כדי לבטל את המינוי. מחיקת האפליקציה לבדה לא מבטלת את המינוי והתשלום המתחדש.