Kako AI chatbotovi pomažu hakerima da ciljaju vaše bankovne račune

Istraživači u Netcraftu nedavno su proveli test na porodici modela GPT-4.1, koju također koriste Microsoftov Bing AI i AI tražilica Perplexity

Redakcija
6 min čitanja
Kako AI chatbotovi pomažu hakerima da ciljaju vaše bankovne račune
Ilustracija

AI chatbotovi brzo postaju primarni način interakcije ljudi s internetom. Umjesto pregledavanja popisa poveznica, sada možete dobiti direktne odgovore na svoja pitanja. Međutim, ovi alati često pružaju informacije koje su potpuno netačne, a u kontekstu sigurnosti mogu biti opasne.

Zapravo, istraživači kibernetičke sigurnosti upozoravaju da su hakeri počeli iskorištavati nedostatke u ovim chatbotovima za izvođenje AI phishing napada.

Konkretno, kada ljudi koriste AI alate za pretraživanje stranica za prijavu, posebno za bankarske i tehnološke platforme, alati vraćaju netačne poveznice. Nakon što kliknete na tu poveznicu, mogli biste biti usmjereni na lažne web stranice. Te se stranice zatim mogu koristiti za krađu ličnih podataka ili vjerodajnica za prijavu.

Šta trebate znati o AI phishing napadima

Istraživači u Netcraftu nedavno su proveli test na porodici modela GPT-4.1, koju također koriste Microsoftov Bing AI i AI tražilica Perplexity. Pitali su gdje se prijaviti na pedeset različitih brendova u bankarstvu, maloprodaji i tehnologiji.

Od 131 jedinstvene poveznice koju je chatbot vratio, samo oko dvije trećine bilo je tačno. Oko 30 posto poveznica vodilo je na neregistrirane ili neaktivne domene. Dodatnih pet posto vodilo je na nepovezane web stranice. Ukupno, više od jedne trećine odgovora vodilo je na stranice koje nisu u vlasništvu stvarnih kompanija. To znači da neko ko traži poveznicu za prijavu lako može završiti na lažnoj ili nesigurnoj stranici.

Ako napadači registriraju te nepotvrđene domene, mogu stvoriti uvjerljive phishing stranice i čekati. Budući da odgovor koji daje AI često zvuči službeno, korisnici će mu vjerovatnije vjerovati bez dvostruke provjere.

AI phishing napadi se već događaju: Primjer iz stvarnog svijeta

U jednom nedavnom slučaju, korisnik je od Perplexity AI zatražio prijavnu stranicu Wells Fargo. Prvi rezultat nije bila službena stranica Wells Fargo; bila je to phishing stranica hostana na Google Sites. Lažna stranica je vjerno oponašala stvarni dizajn i poticala korisnike da unesu lične podatke. Iako je ispravna stranica bila navedena dalje, mnogi ljudi ne bi primijetili ili pomislili provjeriti poveznicu.

Problem u ovom slučaju nije bio specifičan za Perplexityjev temeljni model. Proizlazio je iz zloupotrebe Google Sites i nedostatka provjere u rezultatima pretraživanja koje je alat prikazao. Ipak, rezultat je bio isti: pouzdana AI platforma nehotice je nekoga uputila na lažnu financijsku web stranicu, javlja Fox.

Manje banke i regionalne kreditne unije suočavaju se s još većim rizicima. Manje je vjerovatno da će se te institucije pojaviti u podacima AI obuke ili biti tačno indeksirane na webu. Kao rezultat toga, AI alati su skloniji nagađanju ili izmišljanju poveznica kada se o njima pita, što povećava rizik od izlaganja korisnika nesigurnim odredištima.

Kako AI phishing napadi postaju sve sofisticiraniji, zaštita počinje s nekoliko pametnih navika. Evo sedam koje mogu napraviti stvarnu razliku:

1) Nikada ne vjerujte slijepo poveznicama iz AI odgovora na chatu

AI chatbotovi često zvuče samouvjereno čak i kada su u krivu. Ako vam chatbot kaže gdje se trebate prijaviti, nemojte odmah kliknuti na poveznicu. Umjesto toga, idite direktno na web stranicu ručnim upisivanjem URL-a ili korištenjem pouzdane oznake.

2) Pažljivo provjerite nazive domena

AI generirane phishing poveznice često koriste slične domene. Provjerite ima li suptilnih pravopisnih pogrešaka, dodatnih riječi ili neobičnih završetaka poput “.site” ili “.info” umjesto “.com”. Ako vam se čini i malo čudno, nemojte nastaviti.

3) Koristite dvofaktorsku autentifikaciju (2FA) gdje god je to moguće

Čak i ako vam se podaci za prijavu ukradu, 2FA dodaje dodatni sloj sigurnosti. Umjesto kodova temeljenih na SMS-u, kada su dostupni, odaberite autentifikatore temeljene na aplikacijama poput Google Authenticatora ili Authyja.

4) Izbjegavajte prijavu putem tražilica ili AI alata

Ako trebate pristupiti svom bankovnom ili tehnološkom računu, izbjegavajte pretraživanje ili postavljanje pitanja chatbotu. Koristite oznake preglednika ili direktno unesite službeni URL. AI i tražilice ponekad mogu slučajno otkriti phishing stranice.

5) Prijavite sumnjive AI generirane poveznice

Ako vam chatbot ili AI alat da opasnu ili lažnu poveznicu, prijavite je. Mnoge platforme omogućuju povratne informacije korisnika. To pomaže AI sistemima da uče i smanjuje buduće rizike za druge.

6) Redovno ažurirajte svoj preglednik i koristite snažan antivirusni softver

Moderni preglednici poput Chromea, Safarija i Edgea sada uključuju zaštitu od phishinga i zlonamjernog softvera. Omogućite ove značajke i redovno ažurirajte sve.

Ako želite dodatnu zaštitu, najbolji način da se zaštitite od zlonamjernih poveznica je instaliranje snažnog antivirusnog softvera na svim vašim uređajima. Ova zaštita također vas može upozoriti na phishing e-poruke i prijevare ransomwarea, čuvajući vaše lične podatke i digitalnu imovinu sigurnom.

7) Koristite upravitelj šifri

Upravitelji šifri ne samo da generiraju snažne šifre, već mogu pomoći i u otkrivanju lažnih web stranica. Obično neće automatski popunjavati polja za prijavu na lažnim ili lažnim web stranicama.

Podijeli ovaj članak