ChatGPT створює можливості для фішингу через помилкові URL

ChatGPT створює ризики для користувачів, надаючи неправильні URL-адреси для входу на сайти великих компаній. Про це повідомляє The Register, посилаючись на дослідження Netcraft.

Дослідження показало, що GPT-4.1 моделі правильно вказують адреси лише у 66% випадків, коли їх запитують про офіційні сайти брендів у сферах фінансів, ритейлу, технологій і комунальних послуг.

Зі 131 перевірених URL 34% виявилися некоректними: 29% вели до неактивних або скасованих сайтів, а 5% — до легітимних, але не тих, що запитувалися. Наприклад, на запит сайту Wells Fargo ChatGPT вказав фішинговий сайт, який імітує банк.

Цим активно користуються зловмисники. За словами керівника напрямку загроз Netcraft Роба Данкана, фішери можуть перевірити, яку саме помилку припускається модель, зареєструвати вільний домен і створити фальшивий сайт.

Проблема у тому, що мовні моделі орієнтуються на текстові асоціації, а не перевіряють надійність URL-адрес. Netcraft також виявила схожу схему зі штучним підвищенням довіри до фейкових API для блокчейну Solana — шахраї створили GitHub-репозиторії, інструкції, фейкові акаунти та інший вміст, який міг би привабити мовну модель. У результаті такі ресурси могли з’являтись у відповідях ШІ, а не в результатах класичного пошуку.

За словами Данкана, зростання популярності ШІ-чатів замість пошуковиків посилює ризик, адже користувачі не завжди усвідомлюють неточності. Netcraft закликає розробників покращувати валідацію URL у ШІ-моделях.