Растущая роль AI-чат-ботов в повседневном интернете и их потенциальные угрозы
Искусственный интеллект и чат-боты всё активнее становятся неотъемлемой частью нашего взаимодействия с интернетом. Вместо поиска информации через длинные списки ссылок пользователи всё чаще получают быстрые и точные ответы на свои вопросы прямо в чате. Однако за этим удобством скрываются и опасности: такие инструменты могут выдавать неточную или даже опасную информацию. В свете этого эксперты в области кибербезопасности предупреждают, что злоумышленники начали использовать уязвимости этих систем для проведения фишинговых атак с помощью ИИ.
Как злоумышленники используют AI для фишинга
Часто пользователи ищут через AI-чат-боты ссылки на страницы входа в свои банковские или технологические аккаунты. Однако результаты, которые возвращают такие инструменты, не всегда правильные. В большинстве случаев около трети ссылок — это либо неактивные, либо зарегистрированные на злоумышленников домены, а некоторые вообще ведут на сторонние или фальшивые сайты. Это значительно увеличивает риск того, что пользователь попадёт на поддельный сайт, предназначенный для кражи личных данных или учетных данных.
Почему это опасно для пользователей
Если злоумышленники зарегистрируют такие «пустующие» домены, они смогут создать убедительные фишинговые страницы и ждать, когда жертвы начнут вводить свои данные. Поскольку ответы AI часто звучат достаточно официально и убедительно, большинство пользователей даже не заподозрят обман. В результате даже опытные пользователи могут случайно раскрыть свои личные сведения на поддельных сайтах.
Пример из практики: фальшивый сайт для входа в Wells Fargo
Недавно один из пользователей запросил в AI-помощнике страницу входа в Wells Fargo. В результате ему вышел неофициальный сайт, созданный на платформе Google Sites, полностью имитирующий оригинал и запрашивающий личные данные. Хотя по списку результатов более низко расположена была правильная ссылка, многие не заметили подвоха или не подумали перепроверить её.
Особенно уязвимы малые банки и региональные кредитные организации
Маленькие банки и региональные кредитные союзы чаще всего не присутствуют в обучающих данных ИИ или плохо индексируются. Поэтому AI-инструменты могут ошибочно генерировать или искажать ссылки при запросах, что повышает риск для их клиентов. Пользователи таких банков рискуют попасть на фальшивые страницы, даже не подозревая об этом.
Как защитить себя от AI-фишинга
Современные методы киберпреступников становятся всё изощрённее, поэтому важно придерживаться нескольких простых правил для собственной безопасности:
- Проверяйте ссылки вручную: Если AI-чат предлагает вам ссылку для входа, не кликайте по ней сразу. Лучше введите URL сайта вручную или воспользуйтесь закреплённой закладкой.
- Обращайте внимание на доменные имена: Фишинговые сайты часто используют похожие или чуть искажённые домены, например, с дополнительными словами или необычными окончаниями, такими как «.site» или «.info». Если что-то кажется подозрительным, лучше не переходить по ссылке.
- Используйте двухфакторную аутентификацию: В случае кражи пароля наличие второго фактора — это дополнительная защита. Предпочтительно использовать приложение-генератор кодов, например, Google Authenticator или Authy, вместо SMS.
- Переходите на сайты напрямую: Не ищите вход в свой аккаунт через поисковые системы или чат-боты. Вводите URL вручную или используйте проверенные закладки.
- Сообщайте о подозрительных ссылках: Если AI или чат-бот предоставили опасную или фальшивую ссылку, обязательно сообщите об этом платформе. Это поможет системе улучшиться и снизить риски для других пользователей.
- Используйте защитные средства браузера и антивирусы: Включите встроенные функции защиты от фишинга и вредоносных сайтов в браузерах, а также установите актуальное антивирусное программное обеспечение, которое сможет предупредить о потенциальной угрозе.
- Применяйте менеджеры паролей: Они не только помогают создавать надежные пароли, но и зачастую обнаруживают подозрительные сайты, не позволяя автоматически заполнять формы на фишинговых страницах.
Почему необходимо повышать осведомлённость и осторожность
Злоумышленники меняют тактики и создают контент, специально адаптированный для AI-моделей. Поэтому важно всегда перепроверять полученные ссылки и информацию, особенно перед вводом конфиденциальных данных. В случае сомнений — лучше перестраховаться и обратиться к официальным источникам.
Стоит ли требовать от разработчиков AI-чатов большей ответственности?
Обсуждается вопрос о том, должны ли компании, создающие такие системы, принимать дополнительные меры по предотвращению фишинговых атак. Ваше мнение важно — пишите свои комментарии и предложения в соответствующие разделы. Чем больше осведомлённости, тем безопаснее наш интернет.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.