“`uk
Зловмисники освоїли новий метод фішингових атак, використовуючи потужні мовні моделі. Вони реєструють домени, що відповідають вигаданим URL-адресам, які генерують ШІ для відомих брендів чи установ, перетворюючи їх на пастки для довірливих користувачів.
Таких висновків дійшли фахівці з Unit 42Підрозділ, що спеціалізується на дослідженнях кіберзагроз та реагуванні на інциденти, підпорядкований американській компанії Palo Alto Networks, яка є світовим лідером у сфері кібербезпеки..
Великі мовні моделі часто “галюцинують”, тобто вигадують факти, зокрема й адреси сайтів. Якщо ШІ генерує однакові фейкові посилання, шахраї можуть заздалегідь виявити їх, зареєструвати відповідні домени та створити фішингові ресурси. Розглянемо детальніше, як працює фантомне сквотування (Phantom Squatting).
Що таке Фантомне Сквотування?
Фантомне сквотування — це нова методика атак на ланцюжки постачання програмного забезпечення. Зловмисники реєструють домени, які відповідають вигаданим адресам, систематично генеруються великими мовними моделями (LLM).
Коли розробники або інші користувачі просять ШІ знайти документацію чи адресу певного сервісу, модель може впевнено надати посилання на вебсайт, якого насправді не існує. Це явище відоме як “галюцинація” ШІ.
Зловмисники спеціально тестують ШІ, щоб визначити, які вигадані назви сайтів він найчастіше пропонує для відомих брендів.
Як тільки хакери виявляють таку “популярну” вигадану адресу, вони швидко реєструють відповідний домен, створюють на ньому фальшивий вебсайт, призначений для крадіжки паролів або встановлення шкідливого програмного забезпечення.
Чому Системи Фільтрації URL-адрес Не Ефективні?
Оскільки домен створено нещодавно, антивірусні програми та фільтри ще не мають інформації про його шкідливість. Він не має “поганої репутації”, тому системи безпеки часто пропускають його.
Таким чином, зловмисники успішно користуються статусом “нульової репутації” таких сторінок.
Дослідники виявили вже понад 13 тисяч потенційно шкідливих посилань, які генерує ШІ (ймовірно, ці домени вже зареєстровані зловмисниками), а також ще близько 250 000 назв, які хакери можуть зареєструвати будь-коли.
Фахівці Unit 42 помітили, що ШІ постійно “вигадував” адресу для певного відомого маркетплейсу (назва прихована з міркувань безпеки) і почали відстежувати цю назву.
Через 23 дні хакери справді викупили цю адресу і створили на ній підроблену сторінку для викрадення даних банківських карток.
Це був маркетплейс національної поштової служби. Зловмисники використали фантомний домен і створили сайт, який був “піксельно точнішою” копією офіційного ресурсу, використовуючи ті самі кольори та логотипи.
Таким чином, зловмисники мали на меті викрасти облікові дані, номери банківських карток та дані національних ідентифікаційних документів.
Україна в Кіберрезерві ЄС
Нагадаємо, у червні 2026 року Рада Європейського Союзу включила Україну до Резерву кібербезпеки ЄС.
Основна функція цього інструменту полягає в наданні послуг реагування на значні або масштабні кібератаки. Для ліквідації наслідків та протидії загрозам залучаються приватні провайдери.
Кіберрезерв перебуває під управлінням Агентства Європейського Союзу з питань кібербезпеки (ENISA).
Порада від Шефа:
Щоб захиститися від подібних атак, завжди перевіряйте URL-адресу сайту. Навіть якщо сайт виглядає ідентично до оригіналу, уважно придивіться до доменного імені. Часто в шахраїв є невеликі відмінності (зайва літера, тире, інша доменна зона). Також корисно мати встановлений надійний антивірус із функцією захисту від фішингу та бути уважними до будь-яких запитів особистих даних.
“`
Інформація підготовлена на основі матеріалів: ain.ua
