Khi một tin nhắn hiện lên trên điện thoại từ một số tự xưng là bạn học cũ, một chuyên gia công nghệ thông tin ở Delhi ban đầu đã cảm thấy tò mò. Người gửi, giả danh là một viên chức Cục Hành chính Ấn Độ, nói rằng một người bạn trong lực lượng bán quân sự đang bị điều động và cần thanh lý đồ nội thất và thiết bị cao cấp "giá rẻ như cho".
Đó là một vụ lừa đảo "chuyển quân" kinh điển, một chiêu trò lừa đảo kỹ thuật số phổ biến ở Ấn Độ . Nhưng thay vì chặn số điện thoại hoặc trở thành nạn nhân của âm mưu này, mục tiêu tuyên bố rằng anh ta đã quyết định lật ngược tình thế bằng chính công nghệ thường bị cáo buộc hỗ trợ tội phạm mạng: trí tuệ nhân tạo.
Theo một bài viết chi tiết đăng trên Reddit , người dùng, được biết đến với biệt danh u/RailfanHS, đã sử dụng ChatGPT của OpenAI để "mã hóa" một trang web theo dõi. Cái bẫy đã thành công trong việc thu thập vị trí của kẻ lừa đảo và ảnh chụp khuôn mặt hắn, dẫn đến một cuộc đối đầu trực tuyến kịch tính, nơi kẻ lừa đảo được cho là đã cầu xin tha thứ.
Mặc dù danh tính của người dùng Reddit không thể được xác minh độc lập và cá nhân cụ thể vẫn ẩn danh, nhưng phương pháp kỹ thuật được mô tả trong bài đăng đã được cộng đồng các nhà phát triển và những người đam mê AI của nền tảng này xem xét và xác thực.
Sự việc này làm nổi bật xu hướng ngày càng gia tăng của " lừa đảo " - công lý tự vệ, trong đó những người am hiểu công nghệ dụ dỗ kẻ lừa đảo để lãng phí thời gian hoặc vạch trần hoạt động của chúng - đang phát triển với sự trợ giúp của AI tạo ra.
Vụ việc, được lan truyền rộng rãi ở Ấn Độ , bắt đầu bằng một Script quen thuộc. Scammer gửi ảnh hàng hóa và mã QR, yêu cầu thanh toán trước. Giả vờ gặp trục trặc kỹ thuật với quá trình quét, u/RailfanHS đã chuyển sang ChatGPT.
Anh ấy đã đưa cho chatbot AI một lệnh yêu cầu tạo một trang web chức năng được thiết kế để mô phỏng một cổng thanh toán. Mã này, được mô tả là "trang web PHP 80 dòng", được thiết kế bí mật để ghi lại tọa độ GPS, địa chỉ IP và Snapshot từ camera trước của khách truy cập.
Cơ chế theo dõi này một phần dựa vào kỹ thuật xã hội cũng như khai thác phần mềm. Để vượt qua các tính năng bảo mật của trình duyệt thường Block quyền truy cập camera im lặng, người dùng đã yêu cầu Scammer đảo tải mã QR lên LINK (Chainlink) để "xúc tiến quá trình thanh toán". Khi Scammer truy cập trang web và nhấp vào nút tải hình ảnh lên, trình duyệt yêu cầu hắn cho phép truy cập camera và vị trí - những quyền mà hắn đã vô tình cấp trong lúc vội vàng chiếm đoạt tiền.
"Vì lòng tham, sự vội vàng, và hoàn toàn tin tưởng vào vẻ ngoài của một cổng giao dịch, anh ta đã nhấp vào LINK (Chainlink)", u/RailfanHS viết trong bài đăng trên subreddit r/delhi. "Tôi ngay lập tức nhận được tọa độ GPS trực tiếp, địa chỉ IP của anh ta, và điều tuyệt vời nhất là một Snapshot rõ nét từ camera trước của anh ta đang ngồi."
Sự trả đũa diễn ra nhanh chóng. Chuyên gia CNTT đã gửi lại dữ liệu thu thập được cho Scammer. Hậu quả, theo bài đăng, là sự hoảng loạn ngay lập tức. Đường dây điện thoại của kẻ lừa đảo liên tục gọi điện cho người dùng, tiếp theo là những tin nhắn cầu xin tha thứ và hứa sẽ từ bỏ cuộc sống tội lỗi.
"Lúc này anh ta đang van nài, khăng khăng rằng sẽ từ bỏ hoàn toàn công việc này và tuyệt vọng cầu xin một cơ hội khác", RailfanHS viết. "Khỏi phải nói, anh ta rất có thể sẽ lừa đảo ai đó ngay giờ tiếp theo, nhưng thật là sung sướng khi ăn cắp của một tên trộm."
Mặc dù những câu chuyện kịch tính về công lý trên internet thường gây ra sự hoài nghi, nhưng nền tảng kỹ thuật của trò lừa đảo này đã được những người dùng khác trong diễn đàn xác minh. Một người dùng có tên u/BumbleB3333 đã báo cáo việc sao chép thành công "trang web HTML giả" bằng ChatGPT. Họ lưu ý rằng mặc dù AI có rào cản chống lại việc tạo mã độc để giám sát âm thầm, nhưng nó lại dễ dàng tạo ra mã cho các trang web trông có vẻ hợp pháp nhưng lại yêu cầu quyền truy cập của người dùng - chính xác là cách Scammer đã mắc bẫy.
"Tôi đã tạo được một dạng trang web HTML giả với ChatGPT. Nó sẽ ghi lại vị trí địa lý khi một hình ảnh được tải lên sau khi đã xin phép", u/BumbleB3333 bình luận, xác nhận tính khả thi của vụ hack. Một người dùng khác, u/STOP_DOWNVOTING, tuyên bố đã tạo ra một "phiên bản mã nguồn hợp lệ" có thể được chỉnh sửa để hoạt động tương tự.
Người đăng bài gốc, tự nhận mình là quản lý sản phẩm AI trong phần bình luận, thừa nhận rằng anh ta phải sử dụng các lời nhắc cụ thể để vượt qua một số hạn chế an toàn của ChatGPT. "Tôi đã quen với việc vượt qua những rào cản này bằng các lời nhắc phù hợp", anh ta lưu ý, đồng thời cho biết thêm rằng anh ta đã lưu trữ Script trên một máy chủ riêng ảo.
Các chuyên gia an ninh mạng cảnh báo rằng mặc dù những trò "hack-back" này khá thỏa mãn, nhưng chúng vẫn nằm trong vùng xám pháp lý và tiềm ẩn nhiều rủi ro. Tuy nhiên, nó vẫn khá hấp dẫn—và là một môn thể thao thu hút khán giả.
