Představte si situaci: potřebujete nutně dokončit práci, otevřete ChatGPT a místo známého chatu na vás vyskočí strohá zpráva. „Služba je přetížena, stáhněte si naši desktopovou aplikaci,“ píše se v ní. Zní to logicky a v rychlosti člověk nemá důvod pochybovat, jenže právě tady začíná past, do které se v poslední době chytají tisíce lidí i u nás v Česku.
Všiml jsem si, že tento útok je mnohem sofistikovanější než běžné maily od „nigerijských princů“. Útočníci totiž nevyužívají jen falešné weby, ale zneužívají přímo infrastrukturu OpenAI, aby jejich podvod vypadal naprosto legitimně.
Past ukrytá v oficiálním odkazu
V čem je tento trik jiný? Zapomeňte na podezřelé adresy plné čísel. Šmejdi začínají přímo ve vyhledávání Google. Zaplatí si reklamu, která vypadá jako oficiální odkaz na ChatGPT. Jakmile na ni kliknete, skutečně skončíte na webu, který má v adresním řádku openai.com.
Trik spočívá v tom, že útočníci využívají funkci sdílených konverzací. Pomocí HTML a CSS elementů dokážou přes originální obsah „připlácnout“ okno, které vypadá jako systémové chybové hlášení. Vypadá profesionálně, používá stejné barvy i písmo jako originál.
- Falešná záminka: Web tvrdí, že prohlížečová verze nestíhá.
- Psychologický nátlak: Nabízí „okamžité řešení“ v podobě instalace programu.
- Vizuální shoda: Tlačítka pro stažení vypadají identicky jako ty od Microsoftu nebo Applu.
Co se stane po kliknutí na tlačítko „Stáhnout“
Tady už končí legrace. Ve chvíli, kdy kliknete na stažení, web vás nenápadně přesměruje mimo servery OpenAI na externí hosting. Do počítače se vám stáhne soubor, který po spuštění neudělá nic viditelného. Ale uvnitř systému začne tichá katastrofa.
Zajímavé články:
V mé praxi se často setkávám s tím, že tyto programy fungují jako digitální vysavač. Během několika sekund prohledají vaše prohlížeče a odešlou útočníkům:
- Uložená hesla k e-mailům a Facebooku.
- Přístupové údaje k internetovému bankovnictví.
- Soubory „cookies“, díky kterým se útočník přihlásí do vašich účtů bez nutnosti zadávat heslo.
Jak poznat, že jde o podvod?
Je to jako s filtrem na vodu – musíte vědět, co do systému nepustit. Skutečný ChatGPT vás nikdy nebude nutit stahovat .exe nebo .dmg soubor přímo z okna konverzace kvůli tomu, že jsou servery vytížené. Pokud se stránka seká, prostě ji obnovte klávesou F5.
Pravidla bezpečného AI předsednictví
Abyste se nenechali napálit, stačí si osvojit jeden prostý zvyk, který vám ušetří peníze i nervy. Nikdy neklikejte na první tři výsledky v Googlu označené jako „Sponzorováno“, pokud hledáte nástroje jako ChatGPT, Canva nebo Adobe. Útočníci si tyto pozice kupují záměrně.
Pokud už jste na podobný soubor klikli a spustili ho, okamžitě odpojte počítač od Wi-Fi. Z jiného zařízení (třeba z mobilu) si změňte heslo na hlavním e-mailu a v bance. Je to drastické, ale je to jediná cesta, jak zastavit únik dat.
Setkali jste se už s tím, že na vás na internetu vyskočila podezřelá žádost o stažení programu, i když jste nic nehledali? Napište mi své zkušenosti do komentářů, pomůžete tím ostatním včas rozpoznat nebezpečí.
