זיופים של כלי בינה מלאכותית מפיצים נוזקות

למאמר הבא
ESET

בינה מלאכותית יוצרת (Generative AI) מעוררת גלים בכל רחבי העולם. הפופולריות והתפוצה שלה תפסה גם את תשומת הלב של פושעי סייבר. עם זאת, עיקר הדיון בנוגע לאיומים הקשורים בכלים כמו ChatGPT התמקד בניצול של הטכנולוגיה ליצירת הודעות פישינג משכנעות, יצירת קוד זדוני או איתור פרצות אבטחה.
אך נראה שפחות אנשים מדברים על השימוש בכלי בינה מלאכותית כפיתיון או כסוס טרויאני בו ניתן להסתיר נוזקה. לא קשה להיתקל בדוגמאות לכך – בשנה הקודמת, למשל, כתבנו על קמפיין שהפציר במשתמשי פייסבוק לנסות את כלי הבינה המלאכותית החדש של גוגל, Bard, כאשר בפועל הפרסומות שירתו כלי התחזות זדוני.
קמפיינים כאלה הם דוגמה למגמה מדאיגה, והם לא הולכים לשום מקום. לכן, חשוב להבין כיצד הם פועלים, ללמוד כיצד לזהות את סימני האזהרה ולנקוט באמצעי זהירות מקדימים כך שהזהות והכספים שלכם לא יהיו בסיכון.

איך החבר׳ה הרעים משתמשים ב-AI כפיתיון?

לפושעי סייבר יש דרכים מגוונות שבאמצעותן הם יכולים לגרום לכם להתקין נוזקה שמוסתרת כאפליקציית בינה מלאכותית יוצרת. למשל:

אתרי פישינג

במהלך המחצית השנייה של 2023, ESET חסמה יותר מ-650,000 ניסיונות לגישה לדומיינים זדוניים הכוללים את השם ״chapgpt״ או טקסט דומה. במרבית המקרים, הקורבנות מגיעים לאתרים האלה לאחר לחיצה על קישור שפורסם ברשת חברתית או הועבר אליהם בהודעה לתיבת הדוא״ל או לטלפון הנייד. חלק מדפי הפישינג האלה עשויים לכלול קישורים להתקנת נוזקות המוסוות כתוכנות בינה מלאכותית.

הרחבות לדפדפן

דוח האיומים של ESET למחצית הראשונה של 2024 מתאר בפירוט הרחבה זדונית לדפדפן שמשתמשים מתפתים להתקין בעקבות מודעות פייסבוק שמבטיחות להוביל אותם לאתר הרשמי של Sora של OpenAI או של גימיני של גוגל. אמנם ההרחבה מסווה את עצמה כ-Google Translate, אך למעשה היא נוזקת גניבת מידע המוכרת בשם Rilide Stealer V4, שנועדה לגנוב את שמות המשתמש והסיסמאות של משתמשי פייסבוק.

נוזקת גניבת מידע המתחזה להרחבה לדפדפן Chrome (מקור: דוח האיומים של ESET למחצית הראשונה של 2024)

מאז אוגוסט 2023, נתוני הטלמטריה של ESET תיעדו יותר מ-4,000 ניסיונות להתקנת ההרחבה הזדונית. הרחבות זדוניות אחרות טענו שהן מאפשרות יכולות AI, ואולי אף עושות כן בצורה מוגבלת, אך גם מתקינות נוזקות, כך על פי Meta.

אפליקציות מזויפות

בנוסף, התקבלו דיווחים מגוונים על אפליקציות AI מזויפות שמופצות במיוחד לחנויות אפליקציות למכשירים ניידים, כשרבות מהאפליקציות האלה מכילות נוזקות. חלקן מלאות בתוכנות זדוניות שנועדו לגנוב מידע רגיש מהמכשיר של המשתמש. המידע הזה עשוי לכלול שמות משתמש וסיסמאות, פרטי זיהוי אישיים, מידע כספי ועוד.

אפליקציות אחרות הן הונאות שנועדו ליצור רווח למפתחים באמצעות הבטחת יכולות AI מתקדמות, בדרך כלל תמורת תשלום. לאחר ההורדה, חלקן יפציצו את המשתמש בפרסומות, ישכנעו לבצע תשלומים בתוך האפליקציה, או ידרשו הרשמה לשירותים שאינם קיימים או שנותנים תוצרים באיכות נמוכה במיוחד.

פרסומות זדוניות

גורמים זדוניים משתמשים בפופולריות של כלי AI כדי לגרום למשתמשים ללחוץ על פרסומות זדוניות. פרסומות כאלה נפוצות בעיקר בפייסבוק. בשנה האחרונה, Meta הזהירה שרבים מהקמפיינים האלה נועדו לפגוע ב-״עסקים שיש להם גישה לחשבונות פרסום ברחבי האינטרנט״.

מסך טעינה שמוצג ע״י תוכנת ההתקנה של נוזקת גניבת המידע Vidar שמתחזה ל-Midjourney
(מקור: דוח האיומים של ESET למחצית הראשונה של 2024)

פושעי סייבר פורצים לחשבון או לדף לגיטימיים, משנים את המידע בפרופיל כדי לגרום לו להיראות כדף אותנטי של ChatGPT או מותג AI אחר, ומשתמשים בחשבונות האלה כדי להפיץ פרסומות מזויפות. אותן הפרסומות מציעות קישורים לגרסאות העדכניות ביותר של כלי בינה מלאכותית, אך אלו בפועל מובילים להתקנת נוזקות לגניבת מידע, כך על פי חוקרים שעסקו בנושא.

אמנות הפיתוי

בני אדם הם יצורים חברתיים. אנחנו נוטים להאמין לסיפורים שמספרים לנו. אנחנו גם חמדנים, ורוצים להניח את ידנו על הגאדג׳טים והאפליקציות העדכניים ביותר. פושעי סייבר מנצלים את תאוות הבצע שלנו, את הפחד מהחמצה, את התמימות ואת הסקרנות שלנו, כדי לגרום לנו ללחוץ על קישורים זדוניים או כדי להוריד אפליקציות שבהן מוסתרות נוזקות.
אך כדי שנלחץ על כפתור ההתקנה, ההצעה צריכה להיות שווה במיוחד וכמובן – כמו כל השקרים המוצלחים – לכלול גרעין כלשהו של אמת. מהנדסים חברתיים הם אשפים של ממש באמנות האפלה הזאת – שכנוע משתמשים ללחוץ על סיפורים חדשותיים הנוגעים לפרשיות רומנטיות של סלבריטאים, או על כל נושא אקטואלי. בחלק מהמקרים הם גם יציעו לנו משהו ללא תשלום, או בהנחה חסרת תקדים, או לפני שמישהו אחר יצליח לשים את ידו על המוצר או השירות המוצע.
אנחנו נופלים בתכסיסים האלה כי:
• אנחנו ממהרים, במיוחד אם אנחנו צופים בתוכן במכשיר הנייד שלנו
• הם טובים ביצירת סיפורים והטקסטים שלהם הופכים לנעימים יותר לקריאה עם הזמן, הודות לכלי AI (די אירוני) שמספרים את
  הסיפור שלהם באופן משכנע בשפות מרובות
• אנחנו אוהבים לקבל דברים ללא תמורה, גם אם ההצעה לא נשמעת מציאותית
• החבר׳ה הרעים יודעים כיצד לשתף ידע על שיטות מוצלחות וכושלות, בזמן שאנחנו מתקשים יותר בזיהוי מידת ההצלחה של
  שיטות פעולה או בקריאה לעזרה
• אנחנו מתוכנתים לקבל סמכות, או לפחות את הלגיטימיות של הצעה מסוימת, כל עוד עומד מאחוריה מותג ״רשמי״
בנוגע לכלי בינה מלאכותית, מפיצי הנוזקות הופכים ליותר ויותר מתוחכמים. הם משתמשים בערוצים מרובים כדי להפיץ את השקרים שלהם. הם מסווים את הנוזקות שלהם באמצעות כל מסכה אפשרית – ChatGPT ותוכנת יצירת הסרטונים Sora AI, תוכנת Midjourney ליצירת תמונות, DALL-E ועורך התמונות Evoto. חלק מהגרסאות שאותן הם מקדמים כלל אינן קיימות, מה שגורם לקורבן לאכול את הפיתיון – ״ChatGPT גרסה 5״ או ״DALL-E גרסה 3״, למשל.
הם מצליחים לגרום לנוזקות להישאר מתחת לרדאר באמצעות שינויים תכופים בקוד שלהם, שמונעים זיהוי ע״י כלי אבטחה. והם משקיעים זמן ומאמץ רב כדי להבטיח שהפיתיונות שלהם (כמו פרסומות פייסבוק) עומדים בתקן.

מה נמצא בסיכון?

אז מה הדבר הגרוע ביותר שעלול לקרות? אם תלחצו על קישור להורדת אפליקציית AI מזויפת למכשיר הנייד שלכם, או על קישור לאתר אינטרנט שיתקין נוזקה כזאת, מה החבר׳ה הרעים מנסים להשיג בכך?

במרבית המקרים מדובר בנוזקות לגניבת מידע, שבהתאם לשמן, מנסות לאסוף מידע רגיש מסוגים שונים. ביניהן עשויות להיכלל סיסמאות לחשבונות המקוונים שלכם, כמו אלה שמשמשים להתחברות לעבודה, פרטי כרטיסי אשראי שנשמרו על המחשב, נכסים שמאוכסנים בארנקי קריפטו, נתונים המגיעים מאפליקציות להעברת מסרים ועוד.
כמובן, נוזקות לגניבת מידע אינן הבעיה כולה. ככלל, פושעי סייבר יכולים להסתיר נוזקה מכל סוג באפליקציות וקישורים זדוניים, כמו כופרות או סוסים טרויאנים לגישה מרחוק.

עבור הקורבן, הדבקה בנוזקות כאלה יכולה לגרום ל:
• מתן גישה מלאה למחשב או למכשיר הנייד ולנתונים המאוחסנים בהם לפושע הסייבר. הוא יוכל לגשת למידע האישי והכספי
  הרגיש ביותר שלכם ולגנוב אותו, או להפוך את המכשיר שלכם למחשב ״זומבי״ שמשמש לביצוע מתקפות על אחרים.
• שימוש במידע האישי שלכם להונאות זהות שעלולות לגרום ללחץ נפשי ואף לנזק נפשי לקורבן
• גניבת פרטים כספיים ואישיים כדי לקבל הלוואות בשמכם, גניבת נכסים במטבעות דיגיטליים וגישה לחשבונות בנק וריקון שלהם.
• שימוש בשמות המשתמש והסיסמאות להתחברות למערכות העבודה כדי לתקוף את המעסיק שלכם, ספק או שותף שלו. קמפיין
  סחיטה מהזמן האחרון שהשתמש בנוזקה לגניבת מידע כדי לקבל גישה לחשבונות Snowflake הוביל להדלפה של עשרות
  מיליוני פרטי לקוחות.

כיצד להימנע מפיתיונות הבינה המלאכותית

ישנן כמה פרקטיקות מומלצות מנוסות ובדוקות שישאירו אתכם בתלם וירחיקו אתכם מאיומים הקשורים לכלי AI. שקלו לאמץ את הפרקטיקות הבאות:
התקינו אפליקציות רק מחנויות אפליקציות רשמיות:
  לחנויות Google Play Store ו-Apple App Store יש תהליך קבלה קפדני וניטור קבוע לאיתור והסרה של אפליקציות זדוניות.
  הימנעו מהורדת אפליקציות מאתרים חיצוניים או ממקורות לא-רשמיים, שכן קיים סיכוי גבוה יותר שאלו מכילות קודים זדוניים.
בדקו פעמיים את המפתחים העומדים מאחורי אפליקציות ואת הביקורות על התוכנות שלהם לפני הורדת אפליקציה,
  אמתו את פרטיהם של המפתחים, חפשו אפליקציות אחרות שפיתחו וקראו את ביקורות המשתמשים עליהן. במרבית המקרים
  לאפליקציות חשודות יש תיאור שכתוב באופן גרוע, היסטוריית פיתוח דלה ומשוב שלילי שמתאר בעיות באפליקציות האלה.
היזהרו בלחיצה על פרסומות דיגיטליות
  פרסומות דיגיטליות, ובייחוד כאלה שנמצאות ברשתות חברתיות כמו פייסבוק, עשויות לשמש כווקטור להפצת אפליקציות זדוניות.
  במקום ללחוץ על פרסומות, חפשו את האפליקציה או השירות ישירות בחנות האפליקציות הרשמית כדי לוודא שאתם מורידים
  את הגרסה הלגיטימית.
בדקו הרחבות לדפדפן לפני ההתקנה
  הרחבות לדפדפן יכולות לשפר את חוויית הגלישה, אך גם יכולות ליצור סיכון מבחינת אבטחה. בדקו את הרקע של המפתחים
  וקראו ביקורות לפני התקנת כל הרחבה. השתדלו לבחור במפתחים מוכרים ובהרחבות עם דירוגים גבוהים ומשוב חיובי
  מהמשתמשים.
השתמשו בתוכנת אבטחה מקיפה מספק אמין
  ודאו שעל המחשבים והמכשירים הניידים שלכם מותקנת תוכנת אבטחה חזקה מספק אמין. תוכנה כזאת מספקת הגנה בזמן
  אמת מפני נוזקות, ניסיונות פישינג ואיומים מקוונים אחרים.
היזהרו מפישינג
  איום הפישינג ממשיך להיות איום משמעותי. היזהרו מהודעות מפתיעות שמבקשות מכם ללחוץ על קישורים או לפתוח קבצים
  מצורפים. אמתו את זהותו של השולח לפני שאתם משיבים להודעת דוא״ל, SMS או הודעה ברשת חברתית שנראית חשודה.
הפעילו אימות רב-שלבי בכל החשבונות המקוונים שלכם
  אימות רב-שלבי מוסיף שכבת הגנה נוספת לחשבונות המקוונים שלכם באמצעות דרישה לאימות במספר שיטות שונות. הפעילו
  אימות רב-שלבי בכל מקום בו יש אפשרות כזאת כדי להגן על החשבונות שלכם גם במקרים בהם הסיסמה שלהם הודלפה.
שמרו על ערנות
  כפי שהראינו כאן, פושעי סייבר לא יכולים לעמוד בפיתוי ומנצלים את ההתרגשות שמתעוררת משחרור מוצרים חדשים או
​​​​​​​ ​​​​​​​​​​​​​​ גרסאות חדשות למוצרים קיימים. אם ראיתם הצעה להורדת גרסה חדשה לכלי AI כלשהו, ודאו שהוא אכן זמין להורדה בערוצים
​​​​​​​ ​​​​​​​​​​​​​​ הרשמיים לפני שתמשיכו. בדקו את האתר הרשמי או מקורות חדשותיים אמינים כדי לוודא שאכן שוחררה גרסה חדשה.

בינה מלאכותית משנה את העולם סביבנו בקצב מעורר השתאות. ודאו שהיא לא משנה את העולם שלכם לרעה.