AI生成式釣魚新變種!駭客偽造政府官網 透過搜尋引擎詐騙民眾個資
記者孫敬/編譯
資安公司Zscaler最新調查發現,已有駭客組織利用「DeepSite AI」與「BlackBox AI」等AI平台,開發出仿冒的巴西交通部、教育部等官方網站,透過搜尋引擎優化(SEO)的「SEO中毒」策略,提升假網站排名來誘使民眾點擊,進而竊取民眾個資與金錢,這也顯示網路釣魚攻擊已從傳統模式,轉向更精密的自動化複製技術。
延伸閱讀:ClickTok鎖定TikTok Shop用戶 逾萬惡意網域竊取個資與加密貨幣
搜尋引擎中毒助長詐騙,個資與金錢雙重損失
駭客組織藉由SEO誤導民眾點擊的手法,主要針對具有公信力的政府部門,假冒的交通部網站主要蒐集民眾辦理駕照相關業務的數據;教育部求職網站則是收集求職者資訊。駭客會先要求受害者提供巴西的個人稅號(CPF),再逐步蒐集更多個人資訊,藉此建立信任感,每起駭客組織的詐騙金額為87.40黑奧(約新台幣477元),並透過巴西的即時支付系統Pix完成轉帳。
資安公司Zscaler的研究人員透過分析可疑網站的原始碼,發現這些AI生成的釣魚網站與傳統手法有顯著差異。首先,其程式碼大量使用了TailwindCSS和FontAwesome函式庫來進行樣式設計,這與常見的釣魚網站架構不同。
其次,研究人員發現程式碼中存在許多「指引性」的註解,這種冗餘的註解通常出現在開發階段,而非實際部署的產品中,明顯帶有AI生成的痕跡,且這些釣魚網站還具備精密的後端驗證機制,能自動驗證受害者提交的個人稅號並顯示相關細節,讓網站看起來更為可信,這也暗示駭客可能已掌握來自其他資料外洩或被駭的API數據。
資料來源:Cyber Security News
