Happy Bitcoin Pizza Day!
Vandaag precies dertien jaar geleden vond de eerste commerciële bitcoin-transactie plaats: 10.000 bitcoins voor twee pizza’s. Vijf feiten over Bitcoin Pizza Day
22 mei 2023
Menu
Geschreven door Maarten de Borst
23.01.2023
De impact van ChatGPT op cybercrime
Sinds de lancering van ChatGPT in november van vorig jaar haalt de tool bijna dagelijks het nieuws. En dat is niet zonder reden: dit gigantische taalmodel heeft op nagenoeg iedere vraag een passend – menselijk – antwoord. Zonder moeite kunnen op basis van deep learning en AI creatieve teksten worden geschreven, teksten worden ingekort en herschreven of volledig worden vertaald. Het Nederlands onderwijs heeft de eerste fraudegevallen met AI-gegenereerde opstelllen al voorbij zien komen, en in Australië zijn ze zelfs al een stap verder: leerlingen moeten werkstukken weer met pen en papier schrijven. Eigenlijk eerder een stap terug dus.
Nauwelijks twee maanden na de introductie van ChatGPT wordt er al volop gespeculeerd wat de impact van deze baanbrekende technologische ontwikkeling is: contentmarketeers zouden zonder werk komen te zitten, scholen zonder leerlingen (waarom nog vakken leren als je het ook aan een AI kan vragen) en uitgeverijen zonder auteurs. Hoewel deze ontwikkeling ontzettend hard gaat en het absoluut aan te raden is om jezelf eens te verdiepen in deze materie, zal het allemaal zo’n vaart niet lopen; er zijn nog genoeg juridische en ethische vraagstukken rondom de inzet van AI’s als ChatGPT, met name als het gaat om commercieel gebruik. Zo leert de korte vraag ‘bij wie ligt het auteursrecht van door ChatGPT gegenereerde teksten volgens het Nederlands recht?’ ons dat – tenzij er een commerciële overeenkomst is – het auteursrecht bij de maker van de software ligt. Het zomaar overnemen wat het taalmodel heeft geproduceerd is dus een inbreuk op het intellectueel eigendom van de makers van ChatGPT.
Toch is het meest briljante aan deze tool misschien nog niet eens dat ie stottert, soms ‘zoekt naar woorden’ en antwoordt als een mens, maar dat je ChatGTP ook kan vragen om computerscripts te interpreteren en zelfs te schrijven: denk aan de Python-code om een ouderwets spelletje Pong te kunnen spelen, de HTML-code voor een nieuwe website of een encryptietool om waardevolle informatie te versleutelen. Maar zoals voor iedere technologie geldt: het kan voor goede maar ook minder goede doeleinden gebruikt worden. Even interessant om over de impact van ChatGPT op contentmarketing na te denken, is het om stil te staan bij de mogelijkheden voor digitale criminaliteit: met het gemak dat de code voor een spelletje pong wordt geschreven, zou ook de code voor hacking tools, malware en encryptiesoftware kunnen worden gegenereerd. Om de vergelijking met een mes te maken: de meesten van ons gebruiken een mes om een boterham te smeren, maar ditzelfde mes kan ook worden ingezet voor andere doeleinden.
Om te voorkomen dat ChatGPT wordt ingezet voor illegale doeleinden, is de chattool door de makers beperkt in zijn kunnen. Op vragen die direct betrekking hebben op illegaliteit, geeft ChatGPT ontwijkende antwoorden: ‘ik mag hier geen antwoord op geven, omdat…’. En dat is maar goed ook; een AI met de kennis en kunde van ChatGPT zou hier niet voor mogen worden ingezet. Toch is het niet zo simpel. Om in de metafoor van het mes te blijven: hoe weet de messenverkoper wat de klant ermee gaat doen? Vraagt de klant de verkoper om het beste mes om iemand mee te verwonden, dan zal de verkoper het mes niet meegeven. Maar vraagt de klant om het scherpste mes om zijn vlees te snijden, dan zal de verkoper zijn beste advies geven.
Doel van dit artikel
Middels dit artikel wil ik aantonen dat ChatGPT ‘officieel’ niet gebruikt kan worden voor cybercrime doeleinden, maar door gerichte vragen te stellen – via een omweg dus – juist de ideale rechterhand is voor cybercriminelen. De chattool kan namelijk worden ingezet voor twee essentiële doeleinden als het gaat om cybercrime: i) menselijk contact en vertrouwen winnen en ii) software schrijven. Verder in dit artikel ga ik hier uitgebreid op in.
De afgelopen weken heb ik ChatGPT gebruikt voor het genereren van persona’s, dateprofielen, menselijke imitaties (e.g. collega’s, leidinggevenden), desinformatie en verleidingstechnieken. Al deze ‘outputs’ kunnen worden gebruikt om mensen te intimideren, oplichten, misleiden, afpersen of een andere manier van digitale fraude. Ook heb ik ChatGPT gebruikt om verschillende soorten software te laten schrijven die typisch is voor cybercrime. Met de juiste vraagstelling heb ik ChatGPT de programmeercodes voor phishingmails laten schrijven en de scrips om ransomware, spyware en malware te kunnen verspreiden.
Wat is ChatGPT?
Voordat we ingaan op de mogelijkheden die ChatGPT biedt voor digitale criminaliteit, eerst even een stapje terug: wat is ChatGPT precies en hoe werkt het? Laten we het aan ChatGPT zelf vragen.
Een helder antwoord, maar sommige termen roepen ook nieuwe vragen op; wat is OpenAI? en wat is de input? Een van de sterke punten van deze tool is dat je net als in een ‘echt’ chatgesprek, gewoon kan doorvragen:
Zoals in het antwoord te lezen valt: ChatGPT kan veel, maar niet alles. Om misbruik te voorkomen, zijn er bepaalde beperkingen opgelegd aan de software. ChatGPT zal je dus ook niet direct vertellen hoe je een bom kunt maken:
Een andere beperking van ChatGPT is dat de input gaat tot en met 2021, vragen over gebeurtenissen hierna zullen dus onbeantwoord blijven. En hoewel deze beperkingen soms limiterend of op momenten zelfs frustrerend zijn, zijn er genoeg manieren om hier omheen te werken. En dat is wat deze tool zo krachtig, maar ook zo gevaarlijk maakt. Op iedere vraag die ik voor illegale doeleinden zou willen inzetten, heb ik – door de juiste vragen te stellen – antwoord gekregen.
De impact van ChatGPT op digitale criminaliteit
Digitale criminaliteit is overal om ons heen. Van hacks tot phishing en van malware tot (s)extortion, creditcardfraude en het verspreiden van desinformatie. Sinds de corona-pandemie heeft digitale criminaliteit een vogelvlucht genomen; iedereen werkte thuis en iedereen was daarmee een potentieel slachtoffer. Sinds de wereld in 2022 weer open ging lijkt de groei te stokken, maar dat neemt niet weg dat deze ‘nieuwe’ vormen van criminaliteit razendsnel om zich heen grijpen en ieder jaar veel slachtoffers maken; zowel in financiële als in emotionele zin.
Perfecte persona’s: datingfraude, oplichting en sextortion
De kracht van het internet is ook direct de valkuil: anonimiteit is goed, maar tot op zekere hoogte. Hoe weet je zeker dat de persoon die hij of zij zegt dat hij is, ook daadwerkelijk die persoon is? Online dating fraude, (s)extortion en andere vormen van het gebruik van valse identiteiten (persona’s) vormen een steeds groter probleem. Criminelen benaderen kwetsbare personen – of dit nu onzekere tieners zijn of vijftigers op zoek naar een relatie – om hen vervolgens te misleiden, te chanteren en geld afhandig te maken.
Op het dark web, in Telegram groepen en zelfs gewoon via Google zijn er genoeg ‘handleidingen’ te vinden voor de ‘beste’ chantagetrucs. Uiteindelijk vallen en staan deze vormen van misleiding via het internet altijd met vertrouwen. Dat vertrouwen komt komt vaak uit wát en hóe iets gezegd wordt; taal. En laat ChatGPT daar nu net zo briljant in zijn.
ChatGPT kan teksten voor ons schrijven die voor de oplettende lezer al niet van echt te onderscheiden zijn, laat staan voor kwetsbare mensen die ‘op zoek zijn’ naar iets. Om dit aan te tonen, beginnen we simpel en vragen we ChatGPT om ‘de perfecte partner’ te creëeren voor een man van middelbare leeftijd:
Hoewel ChatGPT niet dírect met het perfecte plaatje komt, stelt de mogelijkheid om vervolgvragen te stellen ons in staat om hierop door te gaan. Daarbij kunnen we een van bovenstaande punten uitlichten, maar ook vragen om een profiel voor op dating websites, social media of andere online kanalen te creëeren.
Via enkele vervolgvragen krijgen we een mooi profiel van Samantha, een onafhankelijke en ambiteuze vrouw:
Omdat dit artikel bedoeld is als discussiestuk en niet als handleiding, heb ik mijn exacte vraagstelling hierboven verborgen. Omdat het geen invloed heeft op de strekking van mijn boodschap, zal ik dit in het vervolg vaker doen.
Bovenstaande is nog maar het topje van de ijsberg; eenmaal in gesprek met het potentiële slachtoffer kan ChatGPT ook worden ingezet om de gewenste antwoorden te genereren. Is het slachtoffer verdrietig, dan vragen we de chattool om een gewenst antwoord te geven. Heeft het slachtoffer behoefte aan een luiterend oor? Ook dan weet ChatGPT hier overtuigend – en bovendien menselijk – op in te spelen.
Wat deze vorm van misleiding extra zorgelijk maakt, is dat de oplichters zich vaak in het buitenland bevinden. Zij doen zich vervolgens voor als Brits soldaat, Amerikaans zakenman of Australische diplomaat en hoeven zich op deze manier geen zorgen te maken dat ze door de mand vallen vanwege hun slechte kennis van de Nederlandse taal. Precieze cijfers zijn er niet, maar simpelweg bedenkend dat ChatGPT de taalbarrière van deze oplichters compleet wegneemt, kan maar één ding betekenen. ChatGPT kan teksten in 95 talen lezen, interpreteren en vertalen. ChatGPT’s talenknobbel kan de taalbarrière waar oplichters tegenaan lopen aanzienlijk verlagen al dan niet volledig wegnemen.
Het wordt nog zorgelijker als je bedenkt hoe ChatGPT kan worden ingezet voor het beinvloeden van jonge personen. Vragen we de chattool om een stukje over misleiding te schrijven, dan krijgen we nul op het rekest. Maar herformuleren we de vraag, dan krijgen we het antwoord alsnog. Op basis van een simpele vraag van twaalf woorden genereert ChatGPT een stappenplan om het vertrouwen van jonge slachtoffers te winnen. Wederom heb ik zowel de vraag als het grootste gedeelte van het antwoord verborgen:
De strekking van bovenstaande screenshot mag duidelijk zijn: ChatGPT kan als een enorme katalysator werken voor misdaden tegen jonge, kwetsbare slachtoffers zoals afpersing en sextortion.
Phishing & spoofing
Phishing en spoofing zijn nog altijd een enorm probleem. Bij phishing wordt een nepmail verstuurd vanuit een bank, verzekeraar of andere vertrouwde partij met daarin een link naar een (zellf uitvoerbaar) bestand of een spoofing website. Dit is een nepwebsite die als twee druppels water op de website van het bedrijf lijkt. Het slachtoffer denkt in te loggen, vult hiervoor zijn of haar vertrouwelijke gegevens in (bijv. creditcard- of bankrekeningnummer en pincode) en de criminelen slaan toe. De schade in Nederland loopt jaarlijks in de honderden miljoenen, op globaal niveau loopt de schade van deze vormen van criminaliteit in de tientallen miljarden.
Vanwege de beperkingen die ChatGPT heeft als het gaat om illegale activiteiten, schrijft ChatGPT desgevraagd niet zomaar een phishingmail voor ons.
Maar de nadruk ligt hierbij op het woordje ‘zomaar’. Met een simpele ‘omweg’ krijgen we namelijk wel gewoon die phishingmail. We vragen ChatGPT om ons te helpen met het opstellen van een e-mail vanuit een bankmedewerker: de klant – Frits van Houten – moet zijn gegevens verifiëren door alleen even op een linkje te klikken. We vragen ChatGPT de e-mail direct in HTML-code aan te leveren:
Het kan weinig kwaad om bovenstaande screenshot te plaatsen, voorbeelden van phishingmails zijn er op het internet genoeg. Het gemak daarentegen waarmee we zo’n mail – direct in HTML – kunnen laten maken is ongekend. En komt de e-mail niet dwingend genoeg over, dan zeggen we dat gewoon tegen ChatGPT:
Opnieuw laat ChatGPT’ zien hoe krachtig die talenknobbel is: met de simpele toevoeging ‘maak de tekst dwingender’ krijgen we een aangepaste e-mail: in de titel staat nu ‘URGENT’ en de verificatietermijn is teruggebracht van 10 naar 3 dagen. Onder de HTML-code krijgen we hier zelfs nog toelichting op inclusief de tip nog even de communicatierichtlijnen van de bank in kwestie te controleren. Waar sommige phishing e-mails direct opvallen door stijl- of spelfouten, zal dit bij ChatGPT niet gebeuren. Het taalmodel schrijft nauwkeuriger dan de gemiddelde mens en voor vertalingen – naar 95 talen – geldt hetzelfde. Door vervolgens door te vragen of ChatGPT het nog even in de juiste opmaak te zetten, is die e-mail niet meer van echt te onderscheiden.
Het zou naief zijn om te denken dat ChatGPT alleen ingezet kan worden om e-mails naar particulieren te genereren, phishing gaat namelijk veel verder dan dat. Wekelijks worden er in Europa zo’n duizend bedrijven per week bestookt met ransomware aanvallen. Bij deze aanvallen ‘gijzelen’ hackers het computernetwerk door informatie te versleutelen. Tegen betaling van losgeld – de ransom – krijgt de organisatie weer toegang tot de systemen.
Hackers komen nagenoeg altijd binnen via onoplettende medewerkers die een keer op een simpel linkje of bestand in de bijlage van een e-mail hebben geklikt, bijvoorbeeld een nepsollicitatie. Het bestand in de bijlage van de e-mail is dan geen sollicitatiebrief, maar een bestandje dat de hacker toegang geeft tot de computer van het slachtoffer:
Hackers komen nagenoeg altijd binnen via onoplettende medewerkers die een keer op een simpel linkje of bestand in de bijlage van een e-mail hebben geklikt, bijvoorbeeld een nepsollicitatie. Het bestand in de bijlage van de e-mail is dan geen sollicitatiebrief, maar een bestandje dat de hacker toegang geeft tot de computer van het slachtoffer:
Met een korte beschrijving van wat we precies willen, laten we ChatGPT een sollicitatiebrief voor ons schrijven. Door bepaalde informatie vervolgens te specificeren (naam bedrijf, naam sollicitatant, al een keer kennisgemaakt op een netwerkevenement), ontstaat een overtuigend verhaal:
En vinden we de e-mail te stijfjes, dan geven we ChatGPT de simpele opdracht een iets ‘lossere’ schrijfstijl aan te meten:
Het mag duidelijk zijn dat ChatGPT na het stellen van de juiste vragen een uiterst overtuigend en menselijk verhaal weet neer te zetten. Daarmee is het de perfecte rechterhand voor cybercriminelen die mee willen liften op de gigantische verdienmarkt van phishing.
Ransomware, Spyware & Malware
Maar zoals al eerder besproken gaat die talenknobbel nog veel verder dan die 95 menselijke talen die ChatGPT kan lezen, interpreteren en schrijven. De chattool beheerst ook verschillende programmeertalen waaronder Python, Java, Javascript, HTML, R, C, C++ en Rust. Dat zijn nagenoeg alle veelgebruikte talen. En dat is ook direct het zorgelijke aan deze tool: het stelt criminelen in staat om menselijk contact te initieren, waarna direct ook technisch contact gelegd kan worden, zonder enige vorm van oponthoud.
Maar net als dat ChatGPT geen phishingmail mag schrijven wanneer de gebruiker daar om vraagt, zal de chattool ook geen code schrijven om de computer van iemand anders over te nemen. Sterker nog, deze zoekvraag leidt zelfs tot een veiligheidswaarschuwing:
Toch valt hier relatief makkelijk omheen te werken. Het enige dat we hiervoor moeten weten is hoe – op basisniveau – een computer van een slachtoffer kan worden overgenomen. Een veelvoorkomende manier is door de gebruiker een VBA-script uit te laten voeren. Vragen we om zo’n script, dan genereert ChatGPT deze zonder aarzeling voor ons:
Met het herformuleren van de vraagstelling hebben we opnieuw kinderlijk eenvoudig om de ‘beveiliging’ van ChatGPT heengewerkt; de chattool heeft voor ons de VBA-code samengesteld die – wanneer de gebruiker op ‘OK’ klikt – automatisch een bestand van het internet downloadt en uitvoert. Dit gecombineerd met de eerdere phishingmail van de nepsollicitant, hebben we de eerste twee stappen van een hackproces. De eerste was om contact te leggen en vertrouwen op te bouwen, de tweede – de geinstalleerde malware – maakte het mogelijk om bij het slachtoffer binnen te komen.
Vanaf hier is nagenoeg alles mogelijk. We kunnen keyloggers – software die vastlegt wat iemand typt – of andere spyware installeren, we kunnen op zoek gaan naar interessante informatie zoals wachtwoorden en creditcardgegevens of we schrijven software om de computer van het slachtoffer te versleutelen.
In bovenstaand voorbeeld heb ik ChatGPT gevraagd om een script te schrijven dat op zoek gaat naar creditcardnummers, de bijbehorende beveiligingscodes en namen. Hoewel ChatGPT wederom een beveiligingswaarschuwing geeft, krijgen we alsnog een werkend script. Op dezelfde manier heb ik ChatGPT de code laten schrijven om de computer af te struinen naar persoonsgegevens, gebruikersnamen en wachtwoorden en private en keys voor cryptocurrency wallets. In alle gevallen een groot probleem wanneer deze in de handen van kwaadwillenden komen te vallen.
Een vergelijkbare waarschuwing geeft ChatGPT ons wanneer we de chattool vragen – wederom via een omweg – om ransomware te genereren. Op deze manier kunnen we op afstand de computer, computers of zelfs het hele netwerk versleutelen en losgeld eisen:
Conclusie en vervolgstappen
Middels dit artikel heb ik willen laten zien hoe eenvoudig het is om om de ‘beveiliging’ van ChatGPT heen te werken. Door gerichte vragen te stellen, geeft de chattool mij de handvatten om persona’s te creeeren, de juiste antwoorden te formuleren en zo een vertrouwensband met potentiële slachtoffers op te bouwen. Dit kan gebruikt worden voor onder andere datingfraude, online oplichting, investerings- en boilerroomfraude, het versspreiden van desinformatie, bedrijfsfraude, afpersing en sextortion.
Bovendien stelt de programmeermogelijkheid van ChatGPT cybercriminelen in staat om malware, spyware en ransomware software te schrijven. Maar hier beperkt ChatGPT zich niet toe; buitenlandse beveiligingsbedrijven hebben al bericht gemaakt van cybercriminelen die de chattool hebben ingezet om de achterliggende software voor DDoS-aanvallen en darkweb marktplaatsen te genereren. Samenvattend zou je daarom kunnen zeggen dat ChatGPT een allround tool is voor alle vormen van cybercriminaliteit.
Hoewel dit artikel voornamelijk bedoeld is om een discussie over dit onderwerp te initiëren, is het ook goed om naar mogelijke vervolgstappen te kijken. Laat ik beginnen met te zeggen dat verbieden geen enkele zin heeft. Of dit nu gaat om een verbod vanwege scholieren die hun werkstukken door deze AI laten schrijven of doordat het een goed hulpmiddel is voor cybercriminelen. We leven in een tijd van digitalisering en globalisering, het internet is grenzeloos. Iedere vorm van censuur zal een vorm van schijnveiligheid creëeren en zal het vinden van een passende oplossing enkel vertragen.
Hoewel deze tool als disruptief wordt beschouwd, is het goed om te beseffen dat AI al decennia bestaat en dat er al even lang wordt geroepen ‘wat als we op dat punt zijn’. We zijn nu op dat punt aangekomen en de mogelijke impact is enorm. Daarom is er geen tijd om af te wachten. Mijn voorgestelde oplossing – voor ChatGPT in het algemeen maar cybercrime in het bijzonder – is drieledig:
- Kennisvergaring: zoals bij ieder nieuw onderwerp geldt: laat je niet verrassen, steek tijd en geld in het opbouwen van kennis rondom deze nieuwe ontwikkeling
- Monitoren: ChatGPT gegenereerde teksten en software worden al gebruikt voor cybercrime doeleinden. Om de ontwikkeling te kunnen zien, is het zaak om zo snel mogelijk te starten met monitoren. Om dit te kunnen herkennen zijn er al verschillende tools op de markt, waaronder een van OpenAI zelf.
- Bewustwording: het is goed om te beseffen dat ChatGPT geen enkele vorm van bedreiging zou vormen wanneer mensen niet vatbaar zouden zijn voor cybercriminaliteit. Door mensen bewust te maken van de gevaren van digitale criminaliteit, worden de mogelijkheden van AI tools als ChatGPT beperkt.
Recente artikelen
Onze laatste artikelen over crypto, blockchain & Web3
Digitaal geld gaat ons allemaal aan
‘Bitcoin is vervuilend en de crypto-belofte is uitgebleven’, aldus het Witte Huis. Maar het tegendeel is waar: digitaal geld is de toekomst.
4 april 2023
Drie Amerikaanse banken omgevallen; dit gebeurde er
In nauwelijks een week tijd zijn er drie Amerikaanse banken kopje onder gegaan. De cryptosector is drie van haar belangrijkste banken kwijt, maar ziet dit ook als overwinning
13 maart 2023
Numbers is een specialistisch advieskantoor in hartje Amsterdam. Wij adviseren klanten over de toepassingen van crypto, blockchain & Web3. Onze focusgebieden zijn compliance en financial crime, beleggen en algemene financiële dienstverlening.