Хакеры научились создавать фишинговые сайты за 30 секунд с помощью ИИ
Хакеры начали использовать инструмент Vercel v0 для создания фишинговых сайтов. Об этом сообщает Axios со ссылкой на отчет компании Okta. Вице-президент по разведке угроз Okta Бретт Уинтерфорд рассказал, что это первый случай, когда киберпреступники применили ИИ для создания самой инфраструктуры фишинга, а не только текстов писем. С помощью текстовых команд v0 позволяет создавать сайты меньше чем за минуту.
Фишинг — это вид интернет-мошенничества, используемого чтобы получить идентификационные данные пользователей. Он применяется для кражи паролей, номеров карт, банковских счетов и другой конфиденциальной информации. Как правило, фишинговая атака представляет собой выдачу фейковых сайтов, имитирующих интернет-страницы популярных компаний: соцсетей, интернет-магазинов, стриминговых сервисов и т.д. Хакеры рассчитывают на то, что пользователь не заметит подделки и укажет на странице личные данные
Исследователи Okta выявили фишинговые сайты, нацеленные на пользователей криптовалютных сервисов и Microsoft 365, размещенные на платформе Vercel. Уинтерфорд отметил, что пока нет доказательств кражи данных через эти сайты, но за время расследования хакеры создали новые сайты, атакующие другие платформы. Vercel удалил выявленные сайты и сотрудничает с Okta для предотвращения злоупотреблений.
Главный специалист по информационной безопасности Vercel Тай Сбано заявил, что как любой мощный инструмент, v0 может быть использован во вред. Он добавил, что компания инвестирует в системы для быстрого выявления нарушений.
Okta также обнаружила клонированные версии v0 на GitHub, что позволяет хакерам продолжать создавать фишинговые сайты даже при ограничениях Vercel. Уинтерфорд подчеркнул, что традиционные методы защиты от фишинга устарели, и призвал переходить на беспарольные технологии.
Ранее Axios сообщил, что генеративный ИИ влечет новые киберугрозы, включая автономные кибератаки, «vibe hacking» и кражу данных. Распространены стали также косвенные атаки, когда злоумышленники манипулируют инструкциями ИИ, например, через скрытые команды в письмах. Так, например, можно обманом заставить ИИ-агента выкрасть внутренние документы, просто встроив скрытую инструкцию в обычное электронное письмо или приглашение на совещание.
