Odborníci varujú, že hackeri nedávno použili generatívny nástroj umelej inteligencie na replikáciu niekoľkých webových stránok patriacich brazílskej vláde v snahe ukradnúť citlivé osobné údaje a peniaze.
Falošné webové stránky preskúmali výskumníci zo Zscaler ThreatLabz, ktorí objavili viacero náznakov použitia umelej inteligencie na generovanie kódu.
Webové stránky vyzerajú takmer identicky s oficiálnymi stránkami. Hackeri použili seo otravu, aby sa webové stránky zobrazovali vyššie vo výsledkoch vyhľadávania, a preto pôsobili dôveryhodnejšie.
V kampani, ktorú preskúmal ThreatLabz, boli spozorované dve webové stránky, ktoré napodobňovali dôležité vládne portály. Prvý bol portál Štátneho úradu pre dopravu na podávanie žiadostí o vodičský preukaz.
Zdá sa, že tieto dve stránky sú takmer identické, pričom jediný hlavný rozdiel je v URL adrese webovej stránky. Páchateľ použil ako predponu URL adresu „govbrs[.]com“, napodobňujúc oficiálnu URL adresu spôsobom, ktorý by tí, ktorí stránku navštívia, ľahko prehliadli. Webová stránka bola tiež vylepšená vo výsledkoch vyhľadávania pomocou SEO otravy, vďaka čomu sa javila ako legitímna stránka.
Po vstupe na stránku sú používatelia vyzvaní, aby zadali svoje číslo CPF (forma osobného identifikačného čísla podobného SSN), ktoré by hacker „overil“ pomocou API.
Obete potom vyplnia webový formulár so žiadosťou o osobné údaje, ako je meno a adresa predtým, ako budú požiadané, aby si naplánovali psychometrické a lekárske vyšetrenia ako súčasť žiadosti o vodičský preukaz.
Následne sú obete vyzvané, aby použili Pix, brazílsky systém okamžitých platieb, na dokončenie svojej žiadosti. Finančné prostriedky by išli priamo na účet hackera.
Druhá webová stránka založená na pracovnej burze brazílskeho ministerstva školstva nalákala uchádzačov, aby odovzdali svoje číslo CPF a vykonali platby hackerovi. Táto webová stránka používala podobné techniky squattingu URL adresy a SEO otravy, aby pôsobila legitímne.
Používatelia sa uchádzali o falošné inzeráty pracovných miest, odovzdali osobné údaje a následne boli opäť vyzvaní, aby použili platobný systém Pix na dokončenie svojej žiadosti.
V technickej analýze oboch stránok spoločnosťou ThreatLabz väčšina kódu vykazovala známky generovania pomocou Deepsite AI pomocou výzvy na kopírovanie oficiálnej webovej stránky, ako je štýl TailwindCSS a vysoko štruktúrované komentáre kódu, ktoré uvádzajú „V skutočnej implementácii…“
Súbory CSS webovej stránky obsahujú aj šablónové pokyny, ako reprodukovať vládne stránky.
ThreatLabz dospel k záveru: „Zatiaľ čo tieto phishingové kampane v súčasnosti kradnú obetiam relatívne malé sumy peňazí, podobné útoky sa dajú použiť na spôsobenie oveľa väčších škôd. Organizácie môžu znížiť riziko zabezpečením osvedčených postupov spolu so zavedením architektúry Zero Trust na minimalizáciu priestoru útoku.“
benedict.collins@futurenet.com (Benedict Collins)
