ChatGPT als Köder für Betrügereien

Mit dem Ziel, den Hype um OpenAIs GPT-4, dem neuen multimodalen Modell von ChatGPT, auszunützen, um sich zu bereichern, haben Betrüger Phishing-Kampagnen per E-Mail und Twitter gestartet, die darauf abzielen, Kryptoassets zu stehlen. Die Spezialisten von Tenable haben die Strategie der Kriminellen analysiert und herausgefunden, worauf zu achten ist, um nicht auf die Masche hereinzufallen.

Am 15. März, nur einen Tag nach dem Launch von GPT-4, haben die Betrüger gemäss Tenable bereits damit begonnen, Phishing-E-Mails zu versenden und Phishing-Links zu einem gefälschten OpenAI-Token an verschiedene Kryptowährungsinteressenten zu twittern.

Die Phishing-E-Mail selbst enthält nur einen kurzen Text, in dem der Leser darauf hingewiesen wird, dass er auf keinen Fall den zeitbegrenzten Airdrop des OpenAI DEFI-Tokens verpassen dürfe. Die E-Mail enthält ein Bild einer OpenAI-E-Mail, das auf einem Template basiert, das wie eine legitime OpenAI-E-Mail aussehen könnte, ist jedoch durch eine Reihe von Grammatik- und Rechtschreibfehler sowie einem falschen Datum zu erkennen. In der E-Mail wird behauptet, dass GPT-4 jetzt nur noch mit dem OpenAI-Token verfügbar sei. Da dies mit dem Entscheid von OpenAI, den Zugang zu GPT-4 zu beschränken, übereinstimmt, erhält die Aufforderung der Betrüger für unvorsichtige Leser eine gewisse Legitimität.

Gemäss Tenable ist es unklar, wie die Kriminellen die Nutzer mit dieser Kampagne ansprechen und ob sie es geschafft haben, eine Liste mit OpenAI-Nutzern in ihre Hände zu bekommen. Die Spezialisten werfen jedoch die Theorie in den Raum, dass die Betrüger eine Zielliste erstellt haben könnten, indem sie Daten von SendGrid nutzten, die Informationen über Nutzer des Krypto-Steuerdienstes CoinTracker enthüllten.

Bereits am 16. März teilte der Journalist Zack Abrams ein Foto einer Tweet-Nachricht, die er vom Twitter-Konto eines Betrügers erhielt, der sich als OpenAI ausgab. Abrams bezeichnete den Betrugsversuch als versiert, da: «Bild, Name und blauer Haken mit der echten OpenAI übereinstimmen». Die Betrüger bewerben auf Twitter einen «$GPT-Token» und behaupten, dass er an GPT-4-Kryptonutzer verteilt würde.

Wenn ein Leser auf den Link in der Phishing-E-Mail klickt, so landet er auf einer Website, die der echten OpenAI-Website für ChatGPT und GPT-4 täuschend ähnlich sieht. Ein Hauptunterschied liegt gemäss den Spezialisten von Tenable jedoch darin, dass die Seite der Betrüger den sogenannten «zeitlich begrenzten OpenAI DEFI Token Airdrop» bewirbt. Die Experten weisen darauf hin, dass solche Angaben zu einer «begrenzten» Anzahl an Tokens und «nur während einer begrenzten Zeit verfügbar» spezifische Werkzeuge der Betrüger sind, um in ihren Opfern die Angst zu wecken, dass sie etwas verpassen könnten. So erhöhen sie den Druck und die Wahrscheinlichkeit, dass potenzielle Opfer rote Fahnen ignorieren, die ihnen ansonsten auffallen würden. Ein Beispiel dafür wären das falsche Datum oder die Tatsachen, dass «Decentralized Finance» eigentlich als DeFi und nicht als DEFI bezeichnet wird.

Einen Aspekt der Phishing-Website, der den Sicherheitsexperten aufgefallen ist und den sie als bemerkenswert einstufen, ist die Verwendung eines Bindestrichs im Domain-Namen, um die erste Hälfte der URL so aussehen zu lassen, als ob die Haupt-Domain «openai.com» wäre. Das erreichen die Betrüger durch die Verwendung der Sub-Domain «openai» mit einer Second-Level-Domain «.com-token», gefolgt von der Top-Level-Domain «.info».

Auf der Phishing-Website haben die Kriminellen zusätzlich einen Text platziert, in dem behauptet wird, dass die Inhaber des (gefälschten) OpenAi-Tokens einen exklusiven Zugang zu einer Vorschau auf kommende Produkte und zum Testen von Prototypen vor einer öffentlichen Freigabe erhalten werden. Zusätzlich gibt es die Angabe, dass der OpenAI-Token mit dem Token-Symbol $OAI bezeichnet wird. Sämtliche Tokens auf der Etherum-Blockchain, die das Symbol $OAI verwenden, sind in Wirklichkeit jedoch nicht mit OpenAI verbunden.