הונאות שמתחזות ל-ChatGPT מעשירות את קופתם של ההאקרים

נחשפה שורה של אפליקציות, המתחזות לאפליקציות לגיטימיות של הצ'אטבוט ChatGPT – במטרה להערים על משתמשים לשלם עבור מינוי שלא ייתן להם ערך כלשהו, וכך לגרוף אלפי דולרים בחודש.

את פרטי ההונאה פרסמו חוקרי סופוס (Sophos X-Ops). האפליקציות מצאו את דרכן אל חנויות האפליקציות Play של גוגל ו-App Store של אפל. כיוון שהגרסאות המוצעות להורדה בלא תשלום מוגבלות מאוד ומלאות בפרסומות – הן מעודדות משתמשים שלא חושדים בדבר ובטוחים שהורידו אפליקציה לגיטימית, לשלם עבור מינוי סכומים העשויים להגיע למאות דולרים בשנה.

לפי החוקרים, "מאז ומתמיד נוכלים ניצלו אופנות חדשות בתחום הטכנולוגיה כדי לגרוף רווחים מהירים ולרפד את כיסיהם. כך גם הפעם, עם העניין הרב שיוצר הצ'אטבוט ChatGPT. ההתלהבות והסקרנות סביב השימוש בבינה מלאכותית וצ'אטבוטים המבוססים עליה נמצאים היום בשיא: משתמשים שמחפשים להתנסות בשימוש בטכנולוגיה החדשה עלולים מבלי לשים לב להוריד מחנויות האפליקציות כאלו המתחזות לצ'אטבוט ChatGPT".

האפליקציות האלו, שחוקרי סופוס כינו בשם Fleeceware (גוזלה), עמוסות בפרסומות במטרה להתיש את המשתמשים ולעודד אותם לשלם עבור מינוי. "המפתחים בונים על כך, שבלהט הרגע המשתמשים לא ישימו לב למחיר, או פשוט ישכחו לבטל את המינוי כשיאבדו עניין באפליקציה ויסירו אותה בתום תקופת הניסיון בלא להיות מודעים כי הם ממשיכים לשלם עבורה כל שבוע או חודש", אמר שון גלאגר, חוקר איומים ראשי בסופוס.

צוות Sophos X-Ops חקר חמש אפליקציות גוזלה, הטוענות לשימוש באלגוריתם של ChatGPT. בחלק מהמקרים, כמו למשל במקרה של אפליקציית Chat GBT, בחרו המפתחים שם דומה מאוד לשם ChatGPT כדי לשפר את דירוג האפליקציה בתוצאות החיפוש בחנויות האפליקציות. בעוד שחברת OpenAI מציעה את הפונקציונליות הבסיסית של הצ'אטבוט ChatGPT בלא תשלום, האפליקציות הללו גבו מהמשתמשים סכומים שנעו בין 10 דולרים לחודש ל-70 דולרים בשנה. הגרסה של אפליקציית Chat GBT למערכת ההפעלה iOS נקראה Ask AI Assistant וגבתה מהמשתמשים 6 דולרים בשבוע, או 312 דולרים בשנה – לאחר שלושה ימי ניסיון ראשונים שניתנו בלא תשלום. בחודש מרץ לבדו היא הכניסה למפתחים 10,000 דולרים. אפליקציית גוזלה נוספת, בשם Genie, הערימה על משתמשים להירשם למינוי – שעלותו 7 דולרים בשבוע או 70 דולרים בשנה – ובחודש האחרון היא הניבה למפתחים "הכנסה" בשווי מיליון דולרים.

המאפיינים הבולטים של אפליקציות גוזלה, שהתגלו בראשונה על ידי חוקרי סופוס ב-2019, הם גביית תשלום ממשתמשים עבור פונקציונליות שמוצעת בחינם במקום אחר, וכן שימוש בשיטות הנדסה חברתית ושיטות מפוקפקות נוספות, כדי לשכנע ולעודד משתמשים לשלם עבור מינוי.

בדרך כלל, האפליקציות מציעות תקופת ניסיון קצרה, שבמהלכה מוצגות למשתמשים פרסומות רבות לצד מגבלות שימוש, שלא מאפשרת לעשות כמעט דבר מבלי לשלם קודם. האפליקציות הללו מתוכננות וכתובות בצורה רשלנית, כך שלא פעם אין בהן ערך גם לאחר התשלום. דרך נוספת להערים על המשתמשים היא באמצעות זיוף חוות דעת חיוביות של משתמשים בחנויות האפליקציות, או ביקורות לא אמינות שמושגות באמצעות נדנוד בלתי פוסק למשתמשים חדשים שהורידו את האפליקציה לדרג אותה בחנות האפליקציות – עוד לפני שהסתיימה תקופת הניסיון.

גלאגר סיכם באומרו, כי "אפליקציות גוזלה מתוכננות מהיסוד להלך על הקו הדק שבין המותר והאסור במדיניות השימוש של חנויות האפליקציות של גוגל ואפל. מפני שהן נזהרות לא להפר את כללי אבטחת המידע או הגנת הפרטיות – רק לעיתים רחוקות הן נפסלות על ידי חנויות האפליקציות בשלב הבדיקה והאישור. בעוד שרוב אפליקציות הגוזלה המתחזות ל-ChatGPT שסקרנו הפעם כבר הוסרו מחנויות האפליקציות, אחרות כבר הספיקו לתפוס את מקומן וסביר שמספרן רק יילך ויגדל. הדרך הטובה ביותר להתגונן מפניהן היא העלאת מודעות".

כל האפליקציות המופיעות בסקירה דווחו לאפל ולגוגל.