黑化的ChatGPT：WormGPT資安危害及攻擊手法

　　在AI時代，資安至關重要。隨著技術不斷進步，惡意應用程式和網路攻擊威脅也不斷發展。其中一個威脅就是WormGPT，是一種強大的AI生成模型，如果不加以防範，有可能造成嚴重損害。

　　以下帶各位來看看WormGPT是什麼及其工作原理、它與ChatGPT的差異，並討論該技術帶來的嚴重威脅，與如何防範WormGPT生成的惡意攻擊。

　　WormGPT介紹

　　WormGPT 的核心基於深度學習算法和自然語言處理 (NLP)。深度學習算法使系統能夠比傳統機器學習算法更深入地分析數據，而 NLP 使系統能夠識別不同形式的語言並相應地解釋它們。通過這種技術組合，WormGPT可以創建模擬人類語音模式的複雜對話模型。雖然其功能與其他形式的生成式人工智能非常相似，但WormGPT 缺乏 ChatGPT 或 Google Bard 所採取的保障措施和安全檢查，這使得網路犯罪分子可以非常輕鬆地創建複雜的惡意電子郵件，而不會引發任何危險信號，這正是開發WormGPT的原因。

　　WormGPT與ChatGPT 兩者的差異

　WormGPT是一個開源的無監督學習系統，而ChatGPT是一個閉源的監督學習系統。這意味著WormGPT不需要人類協助來學習，而ChatGPT則需要人類在訓練過程中提供反饋。這差異造成二個系統的創造力所不同；WormGPT可以生成以前從未見過的新穎內容，而ChatGPT受到Input數據的限制及人類老師的道德規範，生成的內容比較符合人類的規範。WormGPT是基於EleutherAI於2021年創建的大型語言模型GPT-J的AI模型。它具有無限字符支持、聊天記憶保留和代碼格式化功能。

WormGPT V.S ChatGPT

學習階段差異

　　WormGPT的學習階段差異在於，過程中加入更多攻擊資訊及沒有人類老師道德規範的獎勵機制，所以在生成惡意攻擊內容時，可生成更多元更逼真的內容。

　　WormGPT本身不具有惡意的攻擊性，主要是協助使用者生成惡意攻擊的物件，例如：生成帶有惡意訊息的郵件(商業詐欺、釣魚郵件)、生成惡意攻擊程式(木馬病毒、DDoS攻擊等)。

　　有了WormGPT的幫助，生成惡意攻擊物件的門檻大幅降低，成為駭客產生惡意攻擊的利器。不過，目前WormGPT不容易取得(相對於ChatGPT)，需要在EMPIRE、WHM、TORREZ等地下暗網交易申請帳號，目前收費60歐元/月(相當2100台幣/月)。以下展示一些使用WormGPT所生成的惡意攻擊物件。

　　WormGPT用於網絡犯罪生成內容示例：

　　　● 生成BEC攻擊（商業電子郵件入侵）示例：

　　在此示例中，用戶向WormGPT提供特定訊息，用來生成冒充CEO的電子郵件，請求支付發票費用。正如您所看到的，沒有拼寫錯誤，並反應了真人的語法。

　　● 生成用python撰寫竊取資料的惡意軟體(一)：

　　在此示例中，用戶請求WormGPT生成python撰寫的惡意軟體，主要是竊取電腦的用戶名稱、外部IP位置和google chrome cookies，壓縮所有內容並傳送到特定的網址。

　　● 生成用python撰寫竊取資料的惡意軟體(二)：

　　在此示例中，用戶請求WormGPT生成python撰寫的惡意軟體，主要是竊取discord token儲存到txt檔案裡，並傳送到特定的網址。

　　在WormGPT的幫助下，駭客新手將更輕易的實現惡意攻擊

　　以BEC攻擊（商業電子郵件入侵）為例，使用WormGPT具有以下兩大優勢：

　　1、卓越的語法：WormGPT可以創建在語法上無懈可擊的電子郵件，使其看起來合法合理，被系統標記為可疑郵件的可能性會大幅降低。

　　2、降低犯罪門檻：WormGPT的出現，極大簡化了原本複雜的BEC攻擊，即便是技術有限的攻擊者也能使用WormGPT，它將成為越來越多網路犯罪分子可以使用的工具。

　　如何降低WormGPT生成的惡意攻擊危害

　　WormGPT生成的惡意攻擊物件，有關生成惡意程式部分，是提高駭客產出程式的效率。對於目前被攻擊對象來看，能夠防範的就只有偽造資訊攻擊部分，例如：BEC、phishing等，因此目前防範的部分主要還是以BEC、phishing為主。

　　BEC 惡意攻擊防範對策：

　　● 加強員工資安教育：在資安領域，員工是最脆弱的一環。尤其進入AI世代，必須讓員工了解AI在BEC攻擊上的進化，及類似WormGPT這種AI生成模型將如何加大BEC威脅的原理。

　　● 仔細檢查所有電子郵件：小心來自高階主管送來的不尋常郵件，有可能是用來誘騙員工去處理緊急事件。

　　● 供應商付款帳號有變更，必須由公司人員進行第二層簽核來加以確認。

　　● 了解客戶的習性，包括一些交易細節和付款習慣，降低頂替冒領的風險。

　　● 有資金轉移請求，要求使用已知的聯絡電話號碼做為雙重驗證，而非來自電子郵件中所提供的內容。

　　Phishing惡意攻擊防範對策：

　　● 絕不要輕易提供個資，除非很肯定對方是信賴的人。

　　● 看到轉發的貼文，先別急著點進去。如果某樣東西好得讓人難以置信，那很 可能就是假的。

　　● 點開電子郵件之前先仔細檢查，將滑鼠停留在寄件人或打算點選的連結上看一下，這樣可以讓一些網路釣魚郵件現出原形。

　　● 開啟電子郵件的附件前，先想一下，這個人平常會寄檔案給你嗎？如果不會，那請先跟他們確認一下。

　　● 在網站上輸入重要資訊前，再次檢查網頁的正確網址。是否存在不該有的字元？有些字母被改成了數字，例如：字母「O」換成了數字「0」？ 這兩個有時候很難分辨。

　　● 當收到親友傳來訊息，說遇到了困難急需借錢，別急著回應，先想一下他們會這樣向你借錢嗎？或是透過正確的聯絡方式詢問。

　　● 在看到螢幕上方或下方的彈出訊息時，先思考一下再決定是否點選。

　　● 在收到簡訊 (SMS) 時請先想一下再回覆，因為您的電信業者、銀行等單位，不太可能用簡訊跟您聯繫。

　　更多資安訊息及防護策略，歡迎與NEITHNET資安專家聯繫：info@neithnet.com。

參考資料：

1. https://www.cloudbooklet.com/wormgpt-how-to-download-and-use/
2. https://abnormalsecurity.com/blog/combating-wormgpt
3. https://www.inside.com.tw/article/30032-chatgpt-possible-4-steps-trainin
4. https://www.hackread.com/wormgpt-malicious-chatgpt-alternative-cybercrime/
5. https://slashnext.com/blog/wormgpt-the-generative-ai-tool-cybercriminals-are-using-to-launch-business-email-compromise-attacks/