Wykorzystanie ChatGPT do manipulacji dokumentacją fotograficzną zamówień staje się realnym wyzwaniem dla platform gig economy. Przypadek DoorDash pokazuje, że strategia „Secure by Design” musi obejmować teraz weryfikację autentyczności mediów w czasie rzeczywistym, aby chronić marże oraz integralność ekosystemu przed zautomatyzowanym wyłudzaniem zwrotów pieniędzy.
Mechanika oszustwa z wykorzystaniem ChatGPT
Użytkownicy platformy DoorDash zaczęli wykorzystywać ChatGPT oraz inne narzędzia generatywnej sztucznej inteligencji do edycji zdjęć dostarczonych posiłków, nadając im wygląd niejadalnych w celu uzyskania nienależnych zwrotów pieniędzy. Proceder ten, nagłośniony przez wiralowe nagrania w serwisie TikTok, obnaża luki w zautomatyzowanych systemach reklamacyjnych, które często ufają przesyłanym obrazom bez zaawansowanej weryfikacji pod kątem manipulacji cyfrowych.
- Manipulacja obrazem: TikTokerka o pseudonimie Starr (@mi5under5t00d) zademonstrowała, jak przerobić zdjęcie upieczonego kurczaka na surowy, co pozwoliło jej uzyskać 39,24 USD kredytu w aplikacji.
- AI Image Delivery Fraud: Zjawisko obejmuje generowanie cyfrowych artefaktów, takich jak insekty na jedzeniu czy symulowanie uszkodzeń mechanicznych przesyłek, co jest trudne do wykrycia przez ludzkie oko bez narzędzi ferystycznych.
- Reakcja platformy: DoorDash oficjalnie odpowiedział na wiralowe nagranie ostrzeżeniem o blokowaniu kont, podkreślając zerową tolerancję dla oszustw (fraud).
Architektura obronna: SafeChat+ i uczenie maszynowe
W odpowiedzi na rosnące zagrożenia, DoorDash wdraża wielowarstwową architekturę bezpieczeństwa opartą na technologii SafeChat+ oraz zaawansowanych algorytmach uczenia maszynowego (ML). Systemy te są zaprojektowane do wykrywania nadużyć w komunikacji oraz scoringu obrazów pod kątem wzorców fałszerstw, co ma na celu ograniczenie strat finansowych przy jednoczesnym zachowaniu wygody klienta i szybkości obsługi.
- SafeChat+: Narzędzie analizujące ponad 1400 wiadomości na minutę w celu detekcji nękania i nadużyć w dziesiątkach języków, w tym angielskim i mandaryńskim.
- Weryfikacja tożsamości: Wdrażanie face verification (okresowe selfie) dla kurierów oraz analiza metadanych zdjęć, aby upewnić się, że pochodzą one z kamery w czasie rzeczywistym (live stream), a nie z galerii urządzenia.
- Detekcja techniczna: Systemy monitorują urządzenia pod kątem jailbreaka oraz anomalii GPS (spoofing), co pozwala na flagowanie kont o wysokim ryzyku.
Krajobraz zagrożeń AI według PwC i Stop Scams UK
Badania przeprowadzone przez PwC we współpracy ze Stop Scams UK wskazują, że sztuczna inteligencja zwiększa skalę i wyrafinowanie oszustw poprzez klonowanie głosu, tworzenie deepfake’ów oraz automatyzację phishingu. Choć dowody na masowe ataki AI są wciąż zbierane, eksperci ostrzegają, że bariery wejścia dla cyberprzestępców gwałtownie spadają dzięki dostępności modeli open-source pozbawionych wbudowanych zabezpieczeń.
- Klonowanie głosu: Technologia ta pozwala na tworzenie niemal nieodróżnialnych kopii głosu z zaledwie kilku sekund nagrania, co może służyć do autoryzacji transakcji lub manipulacji pracownikami (tzw. „CEO fraud”).
- Automatyzacja dialogu: Wykorzystanie chatbotów do prowadzenia rozmów z wieloma ofiarami jednocześnie znacząco zwiększa wolumen ataków przy minimalnym zaangażowaniu ludzkim.
- AI fighting AI: Instytucje finansowe testują boty do „rozmów z oszustami”, które mają za zadanie marnować ich czas oraz zbierać dane wywiadowcze o rachunkach bankowych służących do prania pieniędzy.
Wnioski praktyczne
Dla liderów IT i Security przypadek DoorDash stanowi sygnał do rewizji polityk zaufania wobec danych wejściowych generowanych przez użytkowników.
- Implementacja hardware attestation: Wymuszanie weryfikacji integralności urządzenia przed przesłaniem dowodów fotograficznych.
- Ewolucja KYC: Przejście od statycznej weryfikacji dokumentów do dynamicznych testów liveness opartych na AI.
- Edukacja i świadomość: Budowa odporności organizacji na ataki socjotechniczne wykorzystujące klonowanie głosu i deepfake video
Dodaj komentarz