Så här upptäcker du phishing skriven av en ChatGPT

Next story
Leif Jensen

Det är lättare än någonsin för bedragarna att skriva övertygande phishingmeddelanden, tack vare artificiell intelligens, inte minst chattroboten ChatGPT, som tagit världen med storm. Faktum är att bara två månader efter att den såg offentlighetens ljus, har den 100 miljoner användare.

Men allt kan missbrukas, och cyberbrottslingarna är snabba att upptäcka nya möjligheter. ChatGPT är särskilt intressant för dem, eftersom de kan få hjälp att skriva texter på ett naturligt språk, och inte minst på alla de språk den kan uttrycka sig på, inklusive svenska.

Det har självklart byggts in säkerhetsåtgärder i det OpenAI som ligger bakom ChatGPT för att förhindra att den används specifikt för phishing och bedrägeri, men dessa fungerar inte alltid. Det kan också vara svårt – hur identifierar man ett meddelande som phishing?

Det här är dåliga nyheter för alla oss som använder internet dagligen, och vi har redan sett cyberkriminella använda ChatGPT för att hjälpa dem i deras ”arbete”, så att säga.
I takt med att ChatGPT och andra exempel på artificiell intelligens blir mer avancerade kommer cyberbrottslingarna att kunna skapa allt större och mer felfria kampanjer, som riktar sig både mot privatpersoner och företag.

En undersökning från BlackBerry visar också att 51 procent av ansvariga inom cybersäkerhet förväntar sig att ChatGPT kommer att användas för att genomföra lyckade cyberattacker inom det närmaste året.

Därför är det viktigt att vi alla blir bättre på att upptäcka phishingmeddelanden, och jag har sammanställt 10 råd på sådant som borde tända dina varningslampor och få dig att tänka att det kanske rör sig om ett försök till nätfiske.

  1. Oväntad kontakt
    Phishingmeddelanden kommer ofta oväntat, utan föregående kontakt. När du får ett meddelande som påstår sig vara från din bank eller någon annan organisation måste du vara uppmärksam, inte minst om det finns en länk i mejlet – som du givetvis aldrig får klicka på.
  2. Länkar och bilagor
    En klassisk metod som används av bedragare för att uppnå sina mål är att lägga in skadliga länkar eller filer i meddelandena. Det kan antingen vara för att installera malware på dina enheter (utan din vetskap) eller skicka dig till en phishingsida där du uppmanas att fylla i personlig information. Klicka aldrig på länkar, ladda aldrig ner filer och öppna aldrig bilagor i meddelanden, även om de verkar vara från en känd källa som du litar på. Du måste först bekräfta att meddelandet verkligen kommer från den avsändaren.
  3. Personlig och ekonomisk information
    Syftet med en phishingattack kan vara att få skadlig programvara installerad på din dator, men ofta handlar det om att locka ur dig personlig information. Den säljs sedan ofta på darknet, och kan användas för identitetsstöld och bedrägeri i ditt namn. Så var uppmärksam på e-postmeddelanden som vill få tillgång till din personliga information, och lämna inte ifrån dig något.
  4. Pressar dig
    Cyberbrottslingar som sysslar med phishing använder sig ofta av s.k. social engineering, där de försöker få dig att göra som de vill genom övertalning och utnyttjande av mänskliga fel. Ofta försöker de skapa en känsla av att det är bråttom, så att du sänker garden och inte är lika uppmärksam som vanligt.
  5. Se upp för det som är gratis
    Jag har sagt det förut och jag säger det igen. När något verkar för bra för att vara sant så är det ofta det. Tyvärr faller folk ofta för dessa ”få något gratis”-bedrägerier. Det är vanligt att folk faller för bedrägerier där de utlovas stora gåvor som tack för att de deltar i undersökningar där de måste lämna över sin personliga eller ekonomiska information.
  6. Avsändare och domän är inte samma
    Avsändare av phishingmeddelanden försöker ofta få det att se ut som om deras e-postadresser kommer från en legitim källa, vilket de naturligtvis inte gör. Genom att hålla muspekaren över avsändaren kan du ofta se den e-postadress som används. Om de två inte matchar, eller om det är en lång kombination av slumpmässiga tecken så rör det sig mycket troligt om en bluff.
  7. Konstiga eller allmänna hälsningar
    Cyberbrottslingar försöker ofta efterlikna personer från legitima organisationer eller företag för att skapa förtroende hos sina offer. Men det är inte alltid de träffar rätt ton eller använder rätt hälsningsfras när de skickar ut mejl. Om du är van vid att kallas vid förnamn av ett företag och sedan får ett mer formellt mejl, borde dina varningsklockor ringa. Kom också ihåg att inga banker, företag eller organisationer skickar e-post från en adress som slutar på @gmail.com.
  8. Utnyttjar aktuella situationer eller katastrofer
    Ett annat klassiskt exempel på social engineering är att utnyttja situationer eller kriser som är aktuella här och nu. Därför exploderade nästan antalet phishingmeddelanden under covid-19-pandemin, och det är tydligt att cyberbrottslingarna har kört igång med phishingkampanjer efter att Ryssland invaderade Ukraina. Så var extra försiktig där.
  9. Konstiga önskemål
    Var också uppmärksam på mejl där avsändaren ber dig om konstiga saker. Till exempel om din bank ber dig att bekräfta personliga eller ekonomiska uppgifter via e-post eller sms – något en bank aldrig skulle göra. Dina varningsklockor ska också ringa om ett mejl börjar med ”Bästa kund” eller liknande.
  10. Ber om pengar
    Phishing går ut på att locka personlig information från dig eller få dig att installera malware på dina enheter. Men vissa bedrägerier är lite mer rakt på sak och ber dig bara om pengar. Självklart ska du aldrig gå med på att ge pengar till någon som skickar ett oväntat meddelande till dig, även om det beskrivs som en ”avgift” för att få en gåva.

Med  ChatGPT kommer grammatiska misstag snart att vara ett minne blott. Men tack och lov finns det fortfarande många tecken som kan varna oss för bedrägerier. Så var uppmärksam när du är online och tänk dig alltid för.