Według statystyk Google, Gmail ma obecnie ponad 2,5 miliarda użytkowników. To czyni go lukratywnym celem dla hakerów i internetowych oszustów.

Niedawno Sam Mitrovic, konsultant ds. rozwiązań w firmie Microsoft, wydał ostrzeżenie po tym, jak niemal padł ofiarą „oszustwa związanego z hiperrealistyczną sztuczną inteligencją”, które może oszukać nawet najbardziej doświadczonych użytkowników.

W swoim wpisie na blogu napisał, że otrzymał powiadomienie o akceptacji odzyskania konta Gmail, co jest powszechną metodą ataków phishingowych.

Po zignorowaniu powiadomienia, prawie tydzień później, otrzymał kolejną prośbę o akceptację, po której nastąpiła 40-minutowa rozmowa telefoniczna.

Gdy odebrał telefon, usłyszał amerykański akcent. Mężczyzna przedstawił się jako pracownik pomocy technicznej Google i powiedział, że na jego koncie Gmail zaobserwowano podejrzaną aktywność.

hnovv31i.png
Hakerzy wykorzystują różne metody phishingu oparte na sztucznej inteligencji, aby próbować przejąć kontrolę nad kontami Gmail. (Zdjęcie: Cnet)

Rozmówca nadal zadawał pytania, które wprawiały słuchacza w konsternację, dodając, że haker uzyskał dostęp do konta Mitrovicia w ciągu ostatnich siedmiu dni i pobrał dane z konta. To przypomniało mu o powiadomieniu i nieodebranym połączeniu sprzed tygodnia.

Gdy tylko odebrał telefon, Mitrovic wyszukał numer telefonu w Google i odkrył, że prowadzi on do oficjalnych stron Google. Poprosił dzwoniącego o wysłanie wiadomości e-mail na jego konto.

Początkowo wiadomość wydawała się wiarygodna – nadawca użył domeny Google – ale po sprawdzeniu sekcji odbiorcy odkrył inny adres e-mail, który nie korzystał z domeny Google.

„Dzwoniący powiedział »halo«. Zignorowałem to przez jakieś 10 sekund, a potem znowu powiedział »halo«. W tym momencie zdałem sobie sprawę, że to głos sztucznej inteligencji z idealną wymową” – czytamy we wpisie na blogu Mitrovicia.

Gdyby nie doświadczenie i opanowanie Mitrovicia, przeciętny użytkownik Gmaila mógłby łatwo dać się oszukać.

Google ogłosiło nawiązanie współpracy z Global Anti-Phishing Alliance (GASA) i DNS Research Federation w ramach nowej inicjatywy mającej na celu walkę ze oszustami.

Global Signals Exchange to platforma służąca do wymiany informacji o oszustwach i wyłudzeniach, zapewniająca wgląd w czasie rzeczywistym w łańcuch dostaw cyberprzestępczości.

Google ma nadzieję, że wykorzystując mocne strony każdej organizacji, platforma usprawni wymianę informacji, pomagając szybciej identyfikować i eliminować oszukańcze działania w różnych sektorach, na różnych platformach i przy różnych usługach.

Global Signals Exchange działa w oparciu o Google Cloud, co pozwala wszystkim uczestniczącym stronom na dzielenie się informacjami i korzystanie z nich, a jednocześnie korzystanie z możliwości sztucznej inteligencji platformy w celu inteligentnego wyszukiwania wzorców i dopasowywania sygnałów.

Sztuczna inteligencja deepfake nie jest wykorzystywana wyłącznie w pornografii i polityce ; stosuje się ją również w celu przejmowania kont użytkowników.

Dlatego radzimy zachować spokój, gdy ktoś podszywa się pod pracownika Google. Nigdy nie podejmuj pochopnej decyzji, niezależnie od tego, jak pilna wydaje się rozmowa.

Oszuści po prostu tworzą poczucie pilności, aby zmienić Twój normalny osąd sytuacji, tak abyś klikał w linki lub podawał im informacje, których potrzebują.

Dla dziennikarzy, aktywistów i osób zarządzających poufnymi kontami rozszerzony program ochrony Google może być dobrym rozwiązaniem.

Wcześniej wadą programu była konieczność zakupu dwóch sprzętowych kluczy bezpieczeństwa do logowania się na konto, ale to obciążenie finansowe zniknęło, gdy Google ogłosiło obsługę kluczy dostępu.

Program ulepszonego bezpieczeństwa działa w następujący sposób: logując się do konta Google po raz pierwszy na dowolnym urządzeniu, będziesz potrzebować zarówno klucza dostępu (w smartfonie), jak i weryfikacji biometrycznej. Bez klucza dostępu nie będziesz mógł się zalogować.

W przypadku próby wykorzystania metody odzyskiwania konta przez atakującego w celu przejęcia kontroli nad nim, program wykona dodatkowe kroki w celu weryfikacji tożsamości. Proces ten trwa kilka dni, co oznacza, że ​​hakerzy nie mogą łatwo dokonać oszustwa.

(Według Forbesa, Sammitrovic)