Шахраї почали використовувати великі LLM-моделі для фішингових атак. Для цього реєструють неіснуючі посилання на сторінки великих брендів або установ, які генерує ШІ і перетворюють їх на пастки для користувачів.
Читайте также: Cloudflare автоматично блокуватиме змішані вебкраулери, які збирають дані для ШІ-компаній
Таких висновків дійшли дослідники Unit 42?Підрозділ із дослідження кіберзагроз і реагування на інциденти, який належить американській компанії Palo Alto Networks (один зі світових лідерів у галузі кібербезпеки)..
Різні ШІ-моделі часто галюціонують і генерують однакові фейкові адреси — шахраї можуть заздалегідь вирахувати ці адреси й зареєструвати на них свої домени, створюючи таким чином фішингову пастку. Пояснюємо, як працює Phantom Squatting.
Що таке Phantom Squatting
Фантомний сквотинг — це нові атаки на ланцюжки постачання програмного забезпечення, за якого зловмисники реєструють неіснуючі домени, що їх систематично галюцинують великі мовні моделі (LLM).
Коли розробники або інші користувачі просять ШІ знайти документацію або адресу якогось сервісу, він може впевнено видати посилання на сайт, якого насправді не існує. Це називається галюцинацією.
Зловмисники спеціально перевіряють ШІ, щоб дізнатися, які саме вигадані назви сайтів він найчастіше пропонує для відомих брендів.
Як тільки хакери знаходять таку «популярну» вигадану назву, вони швидко реєструють цей домен на себе та створюють там фальшивий сайт для крадіжки паролів або встановлення вірусів.
Чому не працюють системи фільтрації URL-адрес
Оскільки хакер щойно створив цей домен, антивіруси та фільтри ще не знають, що він шкідливий. У нього немає «поганої історії», тому системи безпеки його пропускають.
Тож зловмисники користуються статусом «нульової репутації» такої сторінки.
Дослідники знайшли вже понад 13 тисяч шкідливих посилань, які видає ШІ (тобто зловмисники, ймовірно, вже зареєстрували ці домени раніше), і ще приблизно 250 000 назв, які хакери можуть викупити в будь-який момент.
Читайте также: Meta запустила ігровий застосунок Pocket для створення мініпроєктів за допомогою ШІ
Дослідники Unit 42 помітили постійну адресу для відомого (назву приховано з міркувань безпеки) маркетплейсу, яку постійно «вигадував» ШІ, і почали стежити за цією назвою.
Через 23 дні хакери справді викупили цю адресу і створили там фальшиву сторінку для крадіжки даних банківських карток.
Це був маркетплейс національної поштової служби (national postal service’s e-commerce marketplace). Зловмисники використали фантомний домен і створили сайт, який був «піксельно точною» копією офіційного ресурсу, використовуючи ті самі кольори та логотипи
Таким чином, зловмисни хотіли викрасти облікові дані, номери банківських карток, національних ідентифікаційних документів.
Україна в Кіберрезерві ЄС
Нагадаємо, у червні 2026 року Рада Європейського Союзу включила Україну до Резерву кібербезпеки ЄС.
Головна функція цього інструменту полягає в наданні послуг із реагування на значні або масштабні кібератаки. Для ліквідації наслідків і відбиття загроз залучають приватних провайдерів.
Кіберрезерв перебуває під управлінням Агентства Європейського Союзу з питань кібербезпеки (ENISA).
Читайте также: Міжнародну букерівську премію перейменували на честь співзасновника Playrix Дмитра Бухмана з рф
