Una nueva campaña de un sitio de phishing está activa en la web a la espera de usuarios que estén buscando la última versión de ChatGPT, el chatbot de OpenAI que, así como sigue sumando adeptos, también es usada por los cibercriminales para engañar con aplicaciones, sitios, o extensiones falsas que solo buscan robar información sensible para cometer estafas.
Chat GPT, lanzado en noviembre de 2022, es una herramienta en la que un robot basado en un modelo de inteligencia artificial permite al usuario chatear, casi como si se tratara de un humano, y configurar -mediante indicaciones, o prompts- las respuestas que obtenga para que se ajusten a lo que busca -en extensión, temática, tono discursivo, etc-.
Este año habíamos detectado el uso de falsos sitios de ChatGPT, y extensiones maliciosas para navegadores, e incluso aplicaciones que distribuyen troyanos para el robo de información bancaria.
La forma de engaño es siempre la misma: simular ser el sitio real y hacer que los usuarios caigan en la trampa, aprovechando la popularidad creciente del chatbot.
Anuncios de Google promocionando la web falsa
En este caso, detectamos ahora que en una búsqueda general de Google “ChatGPT 4”, o “ChatGPT for Android”, por ejemplo, uno de los primeros resultados que pueden aparecer, y dar impresión de ser original, lleva a una url falsa: chatgptui.com que, hasta el momento de publicado este artículo, sigue estando activa.
Ingresando en el link falso, el usuario desprevenido encontrará una web bastante bien construida que usa el logo correcto, aunque es muy distinta a la original.
También utiliza logos de empresas que usan el servicio real para darle un matiz de veracidad a la página falsa.
Haciendo clic en “get started”, observamos que pide datos de registro que no se validan nunca: no es necesario que llegue un mail de confirmación y validación, algo necesario en la mayoría de servicios legítimos.
No es lo que les interesa a los cibercriminales tu mail, en este caso. Lo más importante viene más adelante, cuando crees que estás suscribiéndote a la versión paga del ChatGPT: los datos de tu tarjeta de crédito y el pago por el servicio falso.
Consejos para no caer en la trampa:
- Ten mucho cuidado cuando instales una extensión, una app o te suscribas a un sitio web.
- Verifica siempre la URL a la que te lleve un anuncio, mail, mensaje de WhatsApp. Ante la duda, tipea la dirección por tu cuenta para estar seguro de no caer en un sitio falso.
- Nunca ingreses los datos de tu tarjeta de crédito o información bancaria sin asegurarte que el sitio cuente con las medidas de seguridad correctas. También debes verificar que no tenga sellos falsos de “sitio confiable”.
- Mantén tus equipos y dispositivos actualizados y utiliza software antimalware de confianza.
- Si sospechas que instalaste software malicioso, desconéctate de internet y busca ayuda de un experto en informática.