האקרים הצליחו להרים הונאת פישינג ב־30 שניות בלבד
הדרך, כמובן, היא באמצעות כלי GenAI. החידוש: לראשונה AI משמש לבניית התשתית, ולא רק ליצירת הפיתיון
תמונה:Unsplash
כולנו אוהבים לשחק עם GenAI. כל יום נולדים כלים חדשים, מתוחכמים ומגניבים יותר מהקודמים, ונדמה שהשמיים הם הגבול כשכל פרומפט יכול להפוך למשהו חי. אבל בזמן שאתם מפיקים ממים לקבוצת הוואטסאפ, או סתם מנצלים אותו כדי לקדם מהר פרויקט בעבודה, יש מי שמנצלים את הטכנולוגיה כדי להשתכלל בהונאות פישינג מתקדמות.
לפי דיווח של Axios, האקרים הצליחו לנצל את v0, פלטפורמת GenAI של חברת Vercel, כדי לייצר עמוד התחברות מזויף לחלוטין של חברת Okta, המתמחה בניהול זהויות וגישה (IAM), בתוך חצי דקה בלבד. והמטרה? מן הסתם גניבת זהויות.
איך זה עובד?
v0 מאפשרת לבנות ממשקי משתמש ואתרים שלמים רק בעזרת תיאור טקסטואלי. אתם כותבים "בנה עמוד התחברות עם שדות מייל וסיסמה", והיא בונה לכם את הקוד – כולל React, Tailwind וכל שאר הצעצועים. לפי Okta, לפחות אחד מאתרי הפישינג שהקימו האקרים נראה כמעט זהה לפורטל ההתחברות של החברה עצמה. הנה תרחיש בלהות עבורכם: עובד תמים נופל בפח וההרשאות שלו נמסרות לידי התוקפים, יחד עם הגישה למערכות רגישות בארגון.
פלטפורמת GenAI של חברת Vercel. צילום מסך
ברט ווינטרפורד, סגן נשיא לאיומי סייבר ב-Okta, אמר ל-Axios שזו הפעם הראשונה שבה החברה מזהה שימוש בכלי בינה מלאכותית גנרטיבית לבניית תשתית הפישינג עצמה, לא רק ליצירת טקסטים מטעים או מיילים שמתחזים ללגיטימיים. זה שינוי מהותי: עברנו מ-AI שכותב את הפיתיון, ל-AI שבונה את המלכודת כולה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
אבל זה לא נעצר שם. במהלך החקירה, חוקרי Okta מצאו אתרי פישינג נוספים שנבנו עם v0, הפעם נגד שירותי קריפטו ו-Microsoft 365. המשותף לכולם: הקמה מהירה, מראה מקצועי ואיומים אמיתיים. Vercel הסירה את הגישה לאתרים החשודים, והיא משתפת פעולה עם Okta כדי לאפשר דיווח על שימוש לרעה בפלטפורמה. אבל הבעיה הגדולה היא שזה כבר לא בשליטה מלאה של Vercel. ב-Okta גילו גרסאות מועתקות של הכלי שמסתובבות ב-GitHub והמשמעות היא שגם אם Vercel תגביל את השימוש, הכלים כבר בחוץ והמרדף אחר הפישרים רק נהיה קשה יותר.
אם אתם עדיין סומכים על סיסמאות כדי להגן על מערכות הארגון, אולי הגיע הזמן להתקדם. Okta (ועוד לא מעט מומחי אבטחה) טוענים שהדרך האפקטיבית ביותר להגן על זהויות היום היא פשוט להיפטר מהסיסמה. טכנולוגיות מבוססות Passkeys, אימות ביומטרי וניהול גישה חכם מציעים אלטרנטיבה בטוחה יותר – ובינתיים הן גם בלתי ניתנות לחיקוי ב-30 שניות.
