Эта мошенническая схема с генерацией крипто-счетов-фактур почти меня обманула, и я профессионал в области безопасности
Эта мошенническая схема с генерацией крипто-счетов-фактур практически меня обманула, хотя я профессионал по безопасности
Я сделал долгожданный перерыв от работы в ENBLE в течение последних шести месяцев. Теперь я вернулся – и первое, что я хочу вам сказать, это то, что я идиот.
За время моего отсутствия я много сталкивался с генеративным искусственным интеллектом (AI) и большими языковыми моделями (LLM) в качестве профессионала в области создания контента, как мощного инструмента для повышения производительности и творческого помощника. Но, как и с любой технологией, есть и обратная сторона и потенциал для злоупотребления.
Также: 6 вредных способов использования ChatGPT недобросовестными действующими лицами
На прошлой неделе я почти наверняка стал жертвой попытки фишинга с помощью AI. Я почти попался на нее, хотя я профессионально писал об этой теме и ранее работал аналитиком угроз в крупной информационной безопасности, специализирующейся на защите предприятий от фишинговых атак.
Должен ли я был знать лучше? Абсолютно.
- Купите годовую членскую карту в Costco и получите бесплатную подаро...
- Эта новая функция Threads может вернуть неактивных пользователей
- Лучшие электрические отвертки выполняйте задачи по ремонту и самост...
Но как люди, мы хороши только насколько хорошо обучены распознавать фишинг, и частью этой способности является умение отличить подделку от реальности и обучить древнюю рептилию мозга кричать на нас, когда что-то пахнет неладным.
Также: Генеративный AI приносит новые риски для всех. Вот как вы можете оставаться в безопасности
Однако, если что-то выглядит достаточно аутентичным, то даже человек с большим опытом может совершить глупость. И этим человеком был я.
Как я попался на фишинг с использованием AI
За последние несколько недель я получал электронные письма, которые очень похожи на счета от Stripe, платежного процессора, часто используемого для транзакций с криптовалютой. Письмо представляет собой HTML-форматированное сообщение, которое выглядит очень аутентично и даже включает PDF-вложения, которые выглядят как счета за покупку криптовалюты через Coinbase.
Фишинговое письмо, выдающее себя за счет PayPal.
Поддельный PDF с платежом Coinbase через PayPal, с убедительным номером телефона службы поддержки клиентов 888.
Я привык видеть фишинговые письма, которые гораздо менее убедительны, потому что в них есть легко обнаружимые ошибки форматирования, фразировки и орфографии. Даже поля темы электронной почты иногда выглядят как бессмыслица – не официальные коммуникации от аутентичного поставщика или поставщика услуг.
Также: Лучшие VPN для путешествий прямо сейчас: экспертное тестирование и обзоры
Кроме того, фишинговые попытки, с которыми я сталкиваюсь, содержат ссылки, которые ведут на поддельные банковские или вендорские сайты с загадочными URL-адресами, где вам предлагается ввести учетные данные и в результате выдать пароли. Когда я получаю такие фишинговые письма, они срабатывают мои сигналы тревоги, и я сообщаю о них.
Многие из них настолько очевидно подозрительны, что они даже не попадают в мой почтовый ящик; они сразу отправляются в спам. Я также обучил свой мозг никогда не нажимать на ссылку, и я не нажимал на ни одну из ссылок в этом письме.
Однако в этом случае Gmail не пометил попытку фишинга как спам. Счет и язык письма были написаны и отформатированы настолько хорошо, что очень вероятно, что AI был использован для имитации того, как могут выглядеть такие счета от Stripe, чтобы обойти фильтры Gmail и мои человеческие фильтры. И поскольку я не покупаю криптовалюту, я не знаю, как выглядит “настоящий” счет.
Также: Что нужно знать о катастрофе с потерей данных SanDisk/Western Digital
Теперь нет простого способа доказать, что AI оптимизировал любой из текстов письма или PDF-файлов, но учитывая свободный и легкий доступ к инструментам AI в течение последнего года, все больше вероятности, что они были использованы при их создании.
Это одна из опасностей генеративного AI. Эти инструменты могут использоваться для генерации текста и изображений для создания мошеннических коммуникаций, которые выглядят настолько безупречно, что проходят проверку.
Компрометация человеческого фактора, второй этап
Другой этап этой очень убедительной фишинговой кампании заключается в том, что в счете указан бесплатный номер службы поддержки 888 и вам предлагается позвонить, если вы не узнаете транзакцию.
Также: Мошенники используют искусственный интеллект для подражания вашим близким
Хотя 800 и 888 телефонные номера часто подделываются для телемаркетинговых целей, они также используются легитимными организациями для колл-центров, потому что FCC отслеживает их выдачу. Однако я узнал, что плохие парни используют их для своих собственных колл-центров.
Фактический телефонный номер PayPal.
Так как я беспокоился о том, что мой электронный адрес используется для финансовых операций, я позвонил по этому номеру, полагая, что это сам PayPal, и связался с оживленным колл-центром в Индии, где сотрудник знал достаточно подробностей обо мне, чтобы звучать пугающе аутентично.
Также: Мы не готовы к влиянию генеративного ИИ на выборы
Он сказал мне, что некоторые устройства в Огайо, Китае, Техасе и Нью-Джерси пытаются совершить криптовалютные покупки через эту службу Stripe через Coinbase. Однако последний этап предотвратил выполнение транзакции. Уф.
Google с удовольствием использовал бы генеративный ИИ, чтобы сообщить вам подлинный телефонный номер. Надеюсь.
Однако, чтобы удалить эти устройства из моего профиля PayPal и пометить мой аккаунт, чтобы я перестал получать эти поддельные электронные письма, мне было необходимо отправить ему коды, связанные с электронными адресами, прикрепленными к моему аккаунту Amazon, которые он отправит мне на мой электронный адрес/номер телефона.
Мне следовало проснуться прямо тогда и там, но было 8 утра, и мой первый кофе еще не полностью насытил мою кровь.
Также: Лучшие ключи безопасности в настоящее время: экспертное тестирование
Эти коды – это коды двухфакторной аутентификации (2FA), которые вы бы использовали, если потеряли доступ к своему аккаунту Amazon, если у вас установлена 2FA – и вы никогда не должны давать их кому-либо.
Я был настолько глуп, что отправил этому парню первый код 2FA, а затем, прямо когда он спросил, какую мастеркард я использую, чтобы они могли “пометить” ее, мой рептилий мозг проснулся; я повесил трубку и сразу же сбросил пароли как в PayPal, так и в Amazon.
Затем я нашел фактический телефонный номер PayPal – 1 (888) 221-1161 – и поговорил с их отделом по борьбе с мошенничеством и безопасности, которые сказали мне, что я стал жертвой фишинга, и отправить письма на их адрес злоупотребления: [email protected].
Также: Золотая лихорадка искусственного интеллекта делает базовую безопасность данных критической
О, и тот колл-центр PayPal был базирован в Индии и звучал точно так же, как фейковый, с таким же аутентичным номером 888. Будьте осторожны, люди.
Вы когда-нибудь чуть не стали жертвой искусно выполненной фишинговой атаки? Ответьте мне и дайте знать.
