אנחנו מתקרבים לאמצע שנת 2023, וכבר ברור שהנושא הטכנולוגי העיקרי של השנה יהיה בינה מלאכותית, וליתר דיוק, בינה מלאכותית יוצרת (generative AI). בינה מלאכותית יוצרת היא בינה מלאכותית מתוחכמת מספיק כדי ליצור תוכן חדש על בסיס מסד נתונים גדול. כולנו ראינו תמונות מטורפות של מידג'רני ו-DALL-E או טקסטים עמוקים שנכתבו על ידי AI. ככל שהשימוש בטכנולוגיות AI הולך וגובר, יש הרבה נושאים חשובים שכדאי וחשוב לתת עליהם את הדעת. הנושא שחשוב לי לדבר עליו, באופן לא מפתיע, הוא הונאות.
ChatGPT והנדסה חברתית - כך זה עובד
בתור אנליסט שעובד כ"לוחם נגד הונאות", אני נוטה להתמקד באתגרים טכניים ואנליטיים. אתגרים שכאלו יכולים להיות קבוצות של רמאים שעובדים יחד בתיאום ויוצרים "טבעות הונאה" (Fraud Rings) אשר מאופיינות בדרך בה הם מבצעים מניפולציות שונות (על כתובת המשלוח או המחשב ממנו הם מתחברים, לדוגמא). אחרים יכולים לנצל את מדיניות החזרת המוצרים של חנויות מסוימות בצורה חכמה כדי לא לשלם. אתגר נוסף ויחסית חדש הוא הקושי בתפיסת גנבים חובבים, שלא ממש מפעילים רשתות הונאה גדולות ולכן לעתים (באופן לא אינטואיטיבי) קשה יותר לתפוס אותם. בגלל כל השאלות האלו, והרצון למצוא להן תשובות, בחרתי לעבוד בזה.
המציאות של פשעים ברשת היא שהחוליה החלשה ביותר בשרשרת היא לרוב החוליה האנושית. בני אדם עשויים להיות משועממים, מודאגים, לחוצים, חסרי תשומת לב, נואשים ומפוחדים. רמאי חכם יכול לנצל את כל הרגשות הללו. כלים כמו ChatGPT ושאר תוכנות הבינה המלאכותית יהפכו בהכרח לחלק גדול וכלי משמעותי במלחמת ההונאה המתמשכת.
אספתי פה למטה כמה מהדרכים בהן אני רואה איך ChatGPT עלול להיות (או כבר) מנוצל בהונאות.
השיטות
שחיטת חזירים (Pig butchering scams): מונח מגעיל להונאה מכוערת. הונאה כזו היא הונאה המתרחשת כאשר מרמים אנשים להשקיע במניות מזויפות, מטבעות דיגיטליים מזוייפים או באפליקציות השקעה מזויפות. חלק מהקורבנות מפסידים אלפי או אפילו מאות אלפי דולרים. הקורבנות מפתחים תחושת ביטחון מזויפת במערכות יחסים שהם פיתחו עם הגנבים, שמציגים עצמם כסוחרים ממולחים, בדרך כלל באמצעות הודעות טקסט. ChatGPT וכלים דומים הם ידידותיים, משכנעים וקל לתחזק שיחה באמצעותם. הם אידיאליים לבניית מערכת היחסים הראשונית עבור סוג הונאה שכזה, במיוחד מכיוון שלרוב, לפחות בהתחלה, התוקפים עובדים לפי תסריט די קבוע.
הונאות רומנטיות: בדומה להונאת החזירים, צ'טבוטים חכמים מבוססי בינה מלאכותית מהווים תחליף טוב לרמאים ופרודסטרים אנושיים בהונאה רומנטית. חלק גדול מהצ'אט הוא נוסחתי, כפי שתראו אם תחפשו דוגמאות של קורבנות המתארים את חוויותיהם. יכול להיות שאדם אחד יתפעל כמה צ'אטבוטים, כנראה בלי לפגוע בסיכויי הצלחת ההונאה. בהונאות האלה הרמאי לא בהכרח ישכנע את הקורבן לשים כסף בהשקעה מזויפת, הם פשוט ישכנעו את הקורבן שהם צריכים כסף ומהר (מישהו אמר נוכל הטינדר?).
בקשות כופר מעסקים (BEC): בקרב רמאים ופרודסטרים, הונאת BEC היא פופלרית מאוד. המטרה היא לשכנע אנשי מפתח בהנהלת חשבונות שאתה בכיר בחברה ושצריך לשנות את אחד מחשבונות הבנק של אחד הספקים (החשבון החדש יהיה כמובן של הגנב עצמו). במהלך השנים, התפתחה הונאות BEC, וכיום הודעות האימייל והטקסט נכתבות בהתאמה אישית כך שיתאימו לחברה, ויהיו מאוד ספציפים כדי שהקורבנות לא יחשדו שהם מתקשרים עם גנב. בינה מלאכותית בסגנון chatGPT לא תתקשה להתאים הודעות מנוסחות אישית לכל מטרה, דבר שיקשה על הידיעה כי מדובר בהודעות פיקטיביות.
פישינג דרך Deepfake: למעשה, מדובר ב"פישינג מותאם אישית". לא פעם אנו נתקלים בקורבן ששולח סכומי כסף גדולים מתוך אמונה כי הבוס, המנכ"ל או אפילו קרוב משפחה שלו ביקשו ממנו לעשות כך. תחשבו עד כמה הניסיונות הללו יהיו משכנעים כאשר הרמאי שמעוניין לבצע את ההונאה יוכל לבקש מבינה מלאכותית ליצור אימייל או הודעה או אפילו הודעה קולית בסגנון של אותו אדם? כיום, דרך שימוש במידע שקל למצוא באינטרנט (פרופילים ברשתות חברתיות, ראיונות, פאנלים ועוד), קל מאוד להעתיק את הדיבור של כמעט כל מי שנרצה ולזייף שיחה.
המפץ שיצרו כלי הבינה המלאכותית היוצרת עדיין טרי מאוד. ביצוע הונאות ענק באמצעות טבעות הונאה ענקיות שעובדות בתיאום מוחלט זו דרך יעילה במידה רבה מכיוון שהיא פועלת בהיקף ניכר. כיום, יחד עם AI, הסקאלה והאופציה לבצע הונאות, עלו בכמה רמות והסכנות גדולות הרבה יותר.
לאחר מכן יש ניצול לרעה של האופציה להכחשת עסקה בקניות ברשת, רמאים המתמחים בתחום זה בודקים אילו שיטות הן היעילות ביותר נגד חנויות ספציפיות ואפילו נגד סוכני שירות לקוחות מסוימים ופועלים בהתאם. AI יהיה שימושי גם ובעיקר במקרים בהם ניתן לטפל בכך באמצעות צ'אט או דואר אלקטרוני.
ChatGPT כבר שומש והונדס כך שיוכל לייצר במהירות את כל החומרים הנחוצים להונאות. כמו בשימושים אחרים ב-ChatGPT ובמתחרים שלו, "הנדסה מהירה" היא קריטית. עלייך לדעת מה לבקש, אך בדיוק כמו שימוש יעיל במנועי חיפוש, ניתן ללמוד גם את המיומנות הזו. יתרה מכך, מדובר במיומנות שאינה דורשת שום ידע או יכולת טכנית מיוחדת, ויכולה להתבצע על ידי חובבנים גמורים.
אנחנו בעצם ניצבים מול דמוקרטיזציה של חומרי התקפת הונאה. וזה כבר קורה. במובנים מסוימים, הונאות על ידי בינה מלאכותית ככלל וChatGPT- בפרט הן התרחבות של תעשיית "הפשע כ-שירות" (Crime as a Service) שכבר שולטת באקו סיסטם של פשעים ברשת, דרך הפעולה של רמאים המסוגלים לקנות או להשיג גישה לנתונים גנובים, לייצר בוטים, סקריפטים ואפליקציות על מנת להחליף/להסתיר את הזהות שלהם.
כעת, ההבדל הוא שהכל "תוצרת בית". פושע פוטנציאלי לא צריך הבנה רבה של המערכות במחשב כדי להיות מסוגל להשתמש בAI כדי להפוך את ההונאה שלו למהירה יותר, קלה יותר ויעילה יותר.
הדאגה האמיתית של בדיקת המציאות
לעת עתה, הדבר המפתה ב-ChatGPT ומתחריו, הוא שהם מרגישים בעלי פוטנציאל גדול. כרגע, הם בעייתים, לא מדויקים ולא אמינים (למרות היותם מרשימים ומהנים לשימוש). הצ'אטים כיום עונים תשובות לקויות בחסר, ו"הוזים" דברים דימיוניים, ובינה מלאכותית המייצרת תמונות נאבקת כדי להצליח לייצר ידיים אנושיות. אבל השאלה שמעסיקה את כולם היא - אם זה המצב כרגע, מה יוכלו תוכנות הבינה המלאכותית לעשות בשנה הבאה?
מדובר במחשבה מרגשת אבל גם מפחידה. סקר של Mitre Corporation ו-Harris Poll מצא כי 78% מהאמריקאים מודאגים לפחות במידה מסוימת מכך שניתן להשתמש בבינה מלאכותית למטרות זדוניות, ורובם תומכים בתקנות חזקות המסדירות בינה מלאכותית. בהתחשב ביישומים הפליליים הבלתי נמנעים, תחושת הסכנה רק מתחזקת.
בעולם מניעת ההונאות, אנו יודעים שלמידה נכונה של המכונה והטכנולוגיה היא רק חצי מהקרב. מה שהופך את מניעת ההונאות ליעילה באמת היא כאשר הטכנולוגיה מונחית על ידי מחקר ואינטואיציה של מומחים אנושיים.
אז - מה קורה כשמומחים פליליים מתחילים לחקור מה הם יכולים לעשות עם AI? עדיף שנתחיל להתכונן.
דוריאל אברהמס הוא ראש מחלקת סיכונים בארה"ב בחברת פורטר