حذّر خبراء الأمن السيبراني مستخدمي «شات جي بي تي» (ChatGPT) ومنصات «أوبن إيه آي» الأخرى من موجة احتيالية جديدة تستغل نظام الدعوات داخل المنصة. هذه الرسائل الاحتيالية تبدو وكأنها صادرة رسميًا من «أوبن إيه آي»، مما يزيد من خطر وقوع المستخدمين ضحايا لعمليات التصيد الاحتيالي. وقد اكتشفت شركة «كاسبرسكي» هذه الأساليب الجديدة التي تستهدف مستخدمي الذكاء الاصطناعي.
وبحسب رصد أجرته «كاسبرسكي»، فإن المهاجمين يستغلون ميزات إنشاء «المؤسسات» ودعوة أعضاء الفريق في منصة «OpenAI» لإرسال رسائل احتيالية من عناوين بريد إلكتروني تبدو حقيقية. هذا التكتيك يمنح الرسائل مصداقية عالية، مما يزيد من احتمالية تجاوزها لفلاتر البريد العشوائي واكتساب ثقة المتلقين، خاصةً مع تزايد الاعتماد على خدمات الذكاء الاصطناعي.
كيف تعمل هذه الحيلة الاحتيالية على «ChatGPT»؟
تبدأ العملية بإنشاء حساب عادي على منصة «أوبن إيه آي». خلال عملية التسجيل، يُطلب من المستخدم إنشاء «مؤسسة» وتحديد اسمها. هذا الحقل مخصص عادةً لاسم الشركة أو الفريق، ولكنه يسمح بإدخال نصوص ورموز متنوعة.
يستغل المحتالون هذه المرونة لإدراج عبارات مضللة مباشرة في اسم المؤسسة، مثل رسائل تحذيرية أو عروض زائفة، وأحيانًا أرقام هواتف أو روابط مشبوهة. بعد إنشاء المؤسسة، تقترح المنصة خطوة «دعوة فريقك»، حيث يقوم المهاجمون بإدخال عناوين البريد الإلكتروني للضحايا المستهدفين.
عند إرسال الدعوات، تصل الرسائل من عناوين رسمية تابعة لـ«أوبن إيه آي»، وتظهر للمتلقي على أنها إشعار حقيقي لإضافته إلى مشروع أو فريق عمل. يحتوي البريد الإلكتروني على القالب المعتاد لدعوات التعاون، ولكن النص الاحتيالي الذي أدرجه المهاجم يظهر بشكل بارز داخل الرسالة. يعتمد المحتالون على أن العديد من المستخدمين سيركزون على العنوان الموثوق والرسالة المضللة، دون الانتباه إلى عدم منطقية المحتوى أو سبب تلقيهم دعوة لمؤسسة غير معروفة.
أنماط الرسائل الاحتيالية الشائعة
رصدت «كاسبرسكي» عدة أنواع من الرسائل التي جرى تمريرها بهذه الطريقة. بعضها يروج لخدمات أو عروض احتيالية، بينما يتخذ الآخر طابعًا أكثر خطورة. أحد الأساليب الشائعة هو إرسال إشعارات كاذبة تفيد بتجديد اشتراك مرتفع التكلفة، وهو ما يستهدف مستخدمي الخدمات المدفوعة.
وتطلب الرسالة من الضحية الاتصال برقم هاتف مرفق «لإلغاء العملية». هذا النوع من الهجمات يُعرف بـ«التصيد الصوتي» (Vishing)، حيث يحاول المحتالون أثناء المكالمة إقناع الضحية بالكشف عن بيانات شخصية أو مالية، أو تنفيذ خطوات تؤدي إلى اختراق إضافي. وفي جميع الحالات، يهدف المحتالون إلى دفع المتلقي إلى التصرف بسرعة، سواء عبر الضغط على رابط أو إجراء مكالمة قبل التحقق من صحة الرسالة.
بالإضافة إلى ذلك، لوحظ استخدام هذه الطريقة لنشر برامج ضارة أو طلب معلومات تسجيل الدخول إلى حسابات «أوبن إيه آي» أو خدمات أخرى.
لماذا تنجح هذه الحيلة؟
تكمن خطورة هذا الأسلوب في أن الرسائل ليست مزورة بالطريقة التقليدية. فهي تُرسل عبر قنوات رسمية وتخرج من بنية بريدية حقيقية تابعة للمنصة. لذلك، يختفي العديد من الإشارات التحذيرية المعتادة، مثل عناوين المرسل المشبوهة. ورغم أن محتوى الرسالة غالبًا ما يكون غير متسق مع قالب «دعوة للتعاون»، فإن هذا التناقض قد لا يكون واضحًا للجميع، خاصةً لمن لا يتوقعون أن تُستغل منصة موثوقة بهذا الشكل.
ويرى خبراء الأمن السيبراني أن هذه الحالة تسلط الضوء على مشكلة أوسع تتعلق بأمن الذكاء الاصطناعي. حتى الخدمات ذات السمعة الجيدة يمكن أن تتحول إلى أدوات في يد المحتالين إذا أسيء استخدام ميزاتها. كما أن الاعتماد المتزايد على هذه المنصات يجعل المستخدمين أكثر عرضة للخطر.
كيف تحمي نفسك من الاحتيال على «ChatGPT»؟
بالنسبة لمستخدمي «تشات جي بي تي» ومنصات «أوبن إيه آي» عمومًا، تشكل هذه الحملة تذكيرًا بأهمية الحذر، حتى عند تلقي رسائل تبدو رسمية. ينصح الخبراء بالتعامل مع أي دعوة غير متوقعة بشك، خاصةً إذا تضمنت لغة استعجال أو مطالب مالية أو أرقام هواتف.
كما يُفضل تجنب الضغط على الروابط المضمنة أو الاتصال بالأرقام المذكورة في رسائل مشبوهة. وإذا كانت هناك حاجة فعلية للتواصل مع الدعم، فمن الأفضل زيارة الموقع الرسمي للخدمة والبحث عن بيانات الاتصال هناك. وتفعيل المصادقة الثنائية يظل خطوة مهمة لتعزيز الأمان.
من المتوقع أن تستمر هذه الأنواع من الهجمات في التطور مع زيادة شعبية منصات الذكاء الاصطناعي. يجب على «أوبن إيه آي» وغيرها من الشركات اتخاذ خطوات إضافية لتقييد هذه الثغرات الأمنية ومنع إساءة استخدام ميزاتها. كما يجب على المستخدمين البقاء على اطلاع دائم بأحدث التهديدات الأمنية وتطبيق أفضل ممارسات الحماية.