روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گرچه هوش مصنوعی فرصت‌های بی‌پایانی ایجاد می‌کند اما طیف وسیعی از تهدیدهایجدید را نیز به همراه دارد. هوش مصنوعی مولد به افراد مخرب این امکان را می‌دهد که دیپ‌فیک و وب‌سایت‌های جعلی بسازند، هرزنامه ارسال کنند و حتی خود را به جای دوستان و اعضای خانواده شما جا بزنند. این مقاله توضیح می‌دهد که شبکه‌های عصبی چگونه در کلاهبرداری‌ها و حملات فیشینگ مورد استفاده قرار می‌گیرند و البته نکاتی را برای ایمن ماندن به اشتراک گذاشته‌ایم. برای بررسی دقیق‌تر طرح‌های فیشینگ مبتنی بر هوش مصنوعی، می‌توانید گزارش کامل را در Securelist مطالعه کنید.

کلاهبرداری‌های «Pig butchering» «Catfishing»  و دیپ‌فیک‌ها

کلاهبرداران از ربات‌های هوش مصنوعی‌ انسان‌نما استفاده می‌کنند، به‌ویژه در کلاهبرداری‌های عاشقانه. آن‌ها هویت‌های ساختگی می‌سازند و با قربانیان متعدد به‌طور همزمان ارتباط برقرار می‌کنند تا روابط عاطفی قوی ایجاد کنند. این روند می‌تواند هفته‌ها یا حتی ماه‌ها ادامه پیدا کند؛ معمولاً با شوخی‌ها و صمیمیت‌های سبک شروع می‌شود و به تدریج به بحث درباره «فرصت‌های سرمایه‌گذاری سودآور» تغییر مسیر می‌دهد. این ارتباط طولانی‌مدت به قربانی کمک می‌کند تا شک‌هایش را کنار بگذارد، اما در نهایت کلاهبرداری زمانی کامل می‌شود که قربانی پول خود را در یک پروژه جعلی سرمایه‌گذاری کند. چنین طرح‌های کلاهبرداری به نام «Pig butchering» شناخته می‌شوند. شاید در گذشته این نوع کلاهبرداری‌ها توسط مزارع بزرگ کلاهبرداری در آسیای جنوب شرقی با هزاران کارمند اداره می‌شد، اما امروزه به‌طور فزاینده‌ای به هوش مصنوعی متکی هستند.

شبکه‌های عصبی Catfishing- جایی که کلاهبرداران هویت جعلی می‌سازند یا خود را جای یک فرد واقعی جا می‌زنند — را بسیار آسان‌تر کرده‌اند. شبکه‌های عصبی مولد مدرن می‌توانند ظاهر، صدا یا سبک نوشتاری یک فرد را با دقت کافی تقلید کنند. تنها کاری که کلاهبردار باید انجام دهد جمع‌آوری اطلاعات عمومی در دسترس درباره فرد و وارد کردن آن داده‌ها به هوش مصنوعی است. هر چیزی می‌تواند مفید باشد: عکس‌ها، ویدئوها، پست‌ها و نظرات عمومی، اطلاعات مربوط به اعضای خانواده، سرگرمی‌ها، سن و غیره. بنابراین اگر یکی از اعضای خانواده یا دوستان شما از یک حساب جدید به شما پیام بدهد و مثلاً درخواست پول کند، احتمالاً واقعاً او نیست. در چنین شرایطی بهترین کار این است که از طریق یک کانال دیگر — مثلاً تماس تلفنی — با شخص واقعی ارتباط برقرار کنید و مستقیماً بپرسید که اوضاع خوب است یا نه. پرسیدن چند سؤال شخصی که کلاهبردار نتواند آن‌ها را از اینترنت یا پیام‌های گذشته شما پیدا کند نیز کار هوشمندانه‌ای است.

اما جعل متنی متقاعدکننده تنها بخشی از مشکل است — دیپ‌فیک‌های صوتی و تصویری تهدید بسیار بزرگ‌تری محسوب می‌شوند. اخیراً توضیح دادیم که چگونه کلاهبرداران از دیپ‌فیک بلاگرها و سرمایه‌گذاران مشهور ارزهای دیجیتال در شبکه‌های اجتماعی استفاده می‌کنند. این افراد جعلی از دنبال‌کنندگان دعوت می‌کنند تا در «مشاوره‌های شخصی» یا «چت‌های اختصاصی سرمایه‌گذاری» شرکت کنند یا وعده جوایز نقدی و هدایای گران‌قیمت بدهند.

دیپ‌فیک‌ها فقط در شبکه‌های اجتماعی استفاده نمی‌شوند. آن‌ها برای تماس‌های ویدئویی و صوتی زنده هم تولید می‌شوند. اوایل امسال، زنی در فلوریدا ۱۵ هزار دلار از دست داد چون فکر می‌کرد دارد با دخترش که ظاهراً در یک تصادف رانندگی آسیب دیده بود صحبت می‌کند. کلاهبرداران از یک دیپ‌فیک واقعی از صدای دخترش استفاده کردند و حتی گریه کردن او را تقلید کردند.

کارشناسان Kaspersky GReAT در دارک‌وب آگهی‌هایی پیدا کردند که خدمات ساخت دیپ‌فیک‌های زنده‌ی صوتی و تصویری را ارائه می‌دادند. قیمت این خدمات بسته به میزان پیچیدگی و طول محتوا متغیر است — از فقط ۳۰ دلار برای دیپ‌فیک صوتی و ۵۰ دلار برای ویدئو شروع می‌شود. تنها چند سال پیش، چنین خدماتی بسیار گران‌تر بودند — تا ۲۰ هزار دلار برای هر دقیقه — و تولید زنده اصلاً امکان‌پذیر نبود. این آگهی‌ها گزینه‌های مختلفی را پیشنهاد می‌کنند: تعویض چهره زنده در کنفرانس‌های ویدئویی یا اپلیکیشن‌های پیام‌رسان، تعویض چهره برای تأیید هویت، یا جایگزین کردن یک تصویر در تلفن یا دوربین مجازی. کلاهبرداران همچنین ابزارهایی برای هماهنگ کردن حرکت لب با هر متن در ویدئو (حتی به زبان‌های خارجی) ارائه می‌دهند، و ابزارهای تقلید صدا که می‌توانند تُن و زیر و بَم صدا را برای تطبیق با یک احساس خاص تغییر دهند. با این حال، کارشناسان ما مشکوک‌اند که بسیاری از این آگهی‌ها در دارک‌وب خودشان کلاهبرداری باشند — طراحی شده‌اند تا کلاهبرداران دیگر را فریب دهند و پول خدماتی را بگیرند که واقعاً وجود ندارند.

چگونه ایمن بمانیم؟

•          به آشنایان آنلاین که هرگز حضوری ملاقات نکرده‌اید اعتماد نکنید. حتی اگر مدت‌ها با هم چت کرده‌اید و فکر می‌کنید یک «روح هم‌فکر» پیدا کرده‌اید، مراقب باشید اگر بحث سرمایه‌گذاری، رمزارز یا هر طرحی که نیازمند ارسال پول است را مطرح کردند.
•          فریب پیشنهادهای ناگهانی و جذاب که ظاهراً از طرف سلبریتی‌ها یا شرکت‌های بزرگ در شبکه‌های اجتماعی می‌آید را نخورید. همیشه اطلاعات را در حساب‌های رسمی آن‌ها دوباره بررسی کنید. اگر در جریان یک «قرعه‌کشی» از شما خواسته شد هزینه‌ای، مالیات یا هزینه ارسال پرداخت کنید یا اطلاعات کارت بانکی وارد کنید، فوراً متوقف شوید.
•          اگر دوستان یا اقوامتان پیام‌های غیرمعمولی برایتان فرستادند، از طریق یک کانال دیگر مثل تماس تلفنی با آن‌ها ارتباط بگیرید. برای اطمینان، درباره چیزی که آخرین بار حضوری با هم صحبت کرده‌اید از آن‌ها سؤال کنید. برای دوستان و خانواده نزدیک، بهتر است از قبل یک کلمه رمز تعیین کنید که فقط خودتان بدانید. اگر موقعیت مکانی‌تان را با هم به اشتراک می‌گذارید، آن را بررسی کنید و مطمئن شوید فرد واقعاً کجاست. همچنین فریب دستکاری‌های روانی «عجله کن» را نخورید — کلاهبردار یا هوش مصنوعی ممکن است بگوید شرایط اضطراری است و وقت پاسخ به سؤالات «بی‌اهمیت» را ندارند.
•          اگر در طول تماس ویدئویی شک داشتید، از فرد بخواهید سرش را به طرفین بچرخاند یا یک حرکت پیچیده با دست انجام دهد. دیپ‌فیک‌ها معمولاً نمی‌توانند چنین درخواست‌هایی را بدون برهم خوردن توهم انجام دهند. اگر فرد پلک نمی‌زند یا حرکات لب و حالت‌های چهره‌اش غیرعادی به نظر می‌رسد، این هم یک نشانه هشدار است.
•          هرگز شماره کارت بانکی، کدهای یک‌بارمصرف یا هرگونه اطلاعات محرمانه دیگر را دیکته نکنید یا به اشتراک نگذارید.

تماس‌های خودکار

این تماس‌ها روش مؤثری برای فریب دادن افراد بدون نیاز به صحبت مستقیم با آن‌ها هستند. کلاهبرداران از هوش مصنوعی برای ایجاد تماس‌های خودکار جعلی از طرف بانک‌ها، اپراتورهای تلفن همراه و خدمات دولتی استفاده می‌کنند. آنسوی دیگر خط تنها یک ربات قرار دارد که وانمود می‌کند نماینده پشتیبانی است. این تماس‌ها واقعی به نظر می‌رسند چرا که بسیاری از شرکت‌های قانونی از دستیارهای صوتی خودکار استفاده می‌کنند. با این حال، یک شرکت واقعی هرگز با شما تماس نمی‌گیرد تا بگوید حساب‌تان هک شده یا از شما کد تأیید بخواهد. اگر چنین تماسی دریافت کردید، نکته کلیدی این است که خونسرد بمانید. فریب تاکتیک‌های ترساندن مانند «حساب هک شده» یا «پول سرقت شده» را نخورید. فقط گوشی را قطع و از شماره رسمی روی وب‌سایت شرکت برای تماس با نمایندگی اصلی استفاده کنید. به خاطر داشته باشید که کلاهبرداری‌های مدرن می‌توانند شامل چندین نفر شوند که شما را از این فرد به آن فرد پاس می‌دهند. آن‌ها ممکن است از شماره‌ها و پیامک‌های مختلف تماس بگیرند و وانمود کنند کارمند بانک، مقام دولتی یا حتی پلیس هستند.

چت‌بات‌ها و عامل‌های هوش مصنوعی آسیب‌پذیر در برابر فیشینگ

امروزه بسیاری ترجیح می‌دهند به‌جای موتورهای جستجوی شناخته‌شده از چت‌بات‌هایی مانند ChatGPT یا Gemini استفاده کنند. ممکن است بپرسید خطرات چه هستند؟ مدل‌های زبانی بزرگ با داده‌های کاربران آموزش داده می‌شوند و معلوم شده که چت‌بات‌های محبوب گاهی سایت‌های فیشینگ را به کاربران پیشنهاد می‌دهند. هنگام انجام جستجوهای وب، عامل‌های هوش مصنوعی به موتورهای جستجویی متصل می‌شوند که ممکن است لینک‌های فیشینگ هم داشته باشند.

در آزمایش اخیر، پژوهشگران توانستند عامل هوش مصنوعی در مرورگر Comet ساخت Perplexity را با یک ایمیل جعلی فریب دهند. آن ایمیل ادعا می‌شد از طرف یک مدیر سرمایه‌گذاری در Wells Fargo، یکی از بزرگ‌ترین بانک‌های جهان، ارسال شده است. پژوهشگران ایمیل را از یک حساب تازه ساخته‌شده Proton Mail فرستادند. ایمیل شامل لینکی به یک صفحه فیشینگ واقعی می‌شد که چند روز فعال مانده بود اما هنوز توسط Google Safe Browsing به‌عنوان مخرب علامت‌گذاری نشده بود. هنگام بررسی صندوق ورودی کاربر، عامل هوش مصنوعی پیام را به‌عنوان «یک مورد قابل انجام از طرف بانک» علامت‌گذاری کرد. بدون چک‌های بیشتر، عامل روی لینک فیشینگ رفت، صفحه ورود جعلی را باز کرد و سپس از کاربر خواست اطلاعات ورود را وارد کند؛ حتی در پرکردن فرم هم کمک کرد! اساساً هوش مصنوعی از صفحه فیشینگ حمایت کرد. کاربر هرگز آدرس ایمیل فرستنده مشکوک یا لینک فیشینگ را ندید؛ در عوض بلافاصله به صفحه ورود رمز عبور هدایت شد که توسط «دستیار مفید» ارائه شده بود.

در همان آزمایش، پژوهشگران از پلتفرم توسعه وب مبتنی بر هوش مصنوعی Loveable برای ساخت یک وب‌سایت جعلی شبیه فروشگاه Walmart استفاده کردند. سپس در Comet از سایت بازدید کردند — کاری که یک کاربر فریب‌خورده به‌راحتی می‌تواند انجام دهد اگر با یک لینک یا تبلیغ فیشینگ گول خورده باشد. آن‌ها از عامل هوش مصنوعی خواستند یک Apple Watch بخرد. عامل سایت جعلی را تحلیل کرد، «پیشنهاد ارزان» را یافت، ساعت را به سبد اضافه کرد، آدرس و اطلاعات کارت بانکی ذخیره‌شده در مرورگر را وارد و خرید را بدون پرسیدن تأیید تکمیل کرد. اگر این سایت واقعاً کلاهبردار بود، کاربر مقدار قابل‌توجهی پول از دست می‌داد در حالی که جزئیات بانکی‌اش را روی بشقابی نقره‌ای تقدیم کلاهبرداران کرده بود. متأسفانه، عامل‌های هوش مصنوعی فعلاً مثل تازه‌واردهای ساده‌لوح در وب رفتار می‌کنند و به‌راحتی فریب مهندسی اجتماعی را می‌خورند. پیش‌تر به‌تفصیل درباره خطرات ادغام هوش مصنوعی در مرورگرها و چگونگی کاهش آن‌ها صحبت کرده‌ایم. اما برای یادآوری: برای جلوگیری از اینکه قربانی یک دستیار خیلی اعتمادکننده شوید، باید به‌طور انتقادی اطلاعات ارائه‌شده را ارزیابی کنید، مجوزهایی را که به عامل‌های هوش مصنوعی می‌دهید محدود  و یک راهکار امنیتی معتبر نصب کنید که دسترسی به سایت‌های مخرب را مسدود کند.

وب‌سایت‌های فیشینگ تولیدشده توسط هوش مصنوعی

روزهای سایت‌های فیشینگ بدطراحی و پرتبلیغ به پایان رسیده است. کلاهبرداران مدرن نهایت تلاششان را می‌کنند تا جعل‌های واقع‌گرایانه‌ای بسازند که از پروتکل HTTPS استفاده می‌کنند، توافق‌نامه‌های کاربری و هشدارهای دریافت کوکی را نشان می‌دهند و طراحی نسبتاً خوبی دارند. ابزارهای مبتنی بر هوش مصنوعی ساخت چنین وب‌سایت‌هایی را ارزان‌تر و سریع‌تر کرده‌اند، اگر نگوییم تقریباً آنی. ممکن است لینک یکی از این سایت‌ها را در هر جایی ببینید: در پیامک، ایمیل، شبکه‌های اجتماعی یا حتی در نتایج جستجو.

چگونه یک سایت فیشینگ را شناسایی کنیم؟

• آدرس (URL)، عنوان و محتوای سایت را از نظر غلط‌های املایی بررسی کنید.
• ببینید دامنه وب‌سایت چه مدت ثبت شده است. (می‌توانید از سرویس‌های بررسی دامنه استفاده کنید.)
• به زبان و لحن سایت توجه کنید. آیا سایت سعی دارد شما را بترساند یا متهم کند؟ یا سعی دارد با وعده‌های جذاب شما را وسوسه کرده و وادار به اقدام سریع کند؟ هر نوع دست‌کاری احساسی یک هشدار جدی است.
• قابلیت بررسی لینک (Link-checking) را در راهکارهای امنیتی خود فعال کنید.
• اگر مرورگر درباره اتصال ناامن به شما هشدار داد، فوراً سایت را ترک کنید. سایت‌های معتبر از پروتکل HTTPSاستفاده می‌کنند.
• نام وب‌سایت را در اینترنت جستجو و آدرس (URL) که در اختیار دارید را با نتایج مقایسه کنید. مراقب باشید، چون موتورهای جستجو ممکن است لینک‌های فیشینگ تبلیغاتی را در بالای صفحه نشان دهند. مطمئن شوید که کنار لینک برچسب «Ad» یا «Sponsored» وجود ندارد.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.