اختراق جديد مخيف يستخدم الذكاء الاصطناعي ويتظاهر بأنه جوجل
على الرغم من أن برنامج genAI قد يكون مثيرًا، إلا أن له أيضًا آثارًا جانبية يجب علينا جميعًا أن نكون على دراية بها. ونظرًا لأن برامج الذكاء الاصطناعي تقدم أيضًا أوضاعًا صوتية شبيهة بالإنسان، فقد يكون من السهل أن يقوم أحد نماذج الذكاء الاصطناعي هذه بإجراء مكالمات لأغراض شريرة.
يتضمن أحد هذه السيناريوهات قيام الذكاء الاصطناعي بانتحال شخصية ممثل Google “المهذب للغاية والمهني” الذي يتصل بك من رقم مخادع. تعد المكالمة جزءًا من محاولة أحد المتسللين للاستيلاء على حساب Gmail الخاص بك. يتضمن الاختراق أيضًا إنشاء رسائل بريد إلكتروني مزيفة لاسترداد Gmail ورسائل بريد إلكتروني دعم مزيفة تهدف إلى إقناع الضحية بأنهم هدف لهجوم مستمر.
قد تتجنب الوقوع فريسة للهجوم إذا كنت تتمتع بالخبرة التقنية الكافية. لكن مستخدمي Gmail المطمئنين الذين يخشون أن تكون حساباتهم في خطر قد ينتهي بهم الأمر إلى إعطاء المتسلل كلمة المرور الخاصة بهم عن طريق “التحقق” في النهاية من حساب Gmail الخاص بهم على موقع احتيالي.
كان Sam Mitrovic أحد أهداف عملية الاستيلاء على حساب Gmail. ولحسن الحظ بالنسبة له، فهو مهندس تكنولوجيا معلومات ذو خبرة ويعرف ما الذي يجب البحث عنه عندما يُطلب منه “الدليل” على أن حسابه في خطر. قام بتفصيل تجربته على مدونته (عبر PCMag)، موضحًا الخطوات البسيطة التي يجب عليك اتخاذها لتقليل مخاطر الوقوع في عمليات الاحتيال.
في البداية، تلقى المهندس إشعارًا بالموافقة على محاولة استرداد حساب Gmail، لكنه تجاهله. وبعد حوالي 40 دقيقة، تلقى مكالمة فائتة باستخدام معرف المتصل “Google Sydney”.
وبعد أسبوع بالضبط حدث نفس الشيء. كان هذا عندما قرر الرد على المكالمة دون أن يدرك أنه ربما يتحدث إلى ذكاء اصطناعي تم تصميمه ليبدو وكأنه إنسان:
إنه صوت أمريكي، مؤدب للغاية ومحترف. الرقم استرالي .
يقدم نفسه ويقول أن هناك نشاطًا مشبوهًا في حسابي.
يسألني إذا كنت مسافرًا، وعندما قلت لا، يسألني إذا قمت بتسجيل الدخول من ألمانيا فأجيبه بـ لا.
يقول إن شخصًا ما تمكن من الوصول إلى حسابي لمدة أسبوع وأنه قام بتنزيل بيانات الحساب (ثم أحصل على استرجاع لإشعار الاسترداد قبل أسبوع).
سواء كنت خبيرًا في التكنولوجيا أم لا، أنا متأكد من أن هذه هي الخطوة التي يبدأ فيها الذعر بالزحف. طلب ميتروفيتش من أحد موظفي دعم Google أن يرسل له بريدًا إلكترونيًا. قال الصوت أنه سوف:
في الخلفية، يمكنني سماع شخص يكتب على لوحة المفاتيح، وخلال المكالمة هناك بعض الضوضاء في الخلفية التي تذكرنا بمركز الاتصال.
أخبرني أنه أرسل البريد الإلكتروني. بعد لحظات قليلة، يصل البريد الإلكتروني، وللوهلة الأولى يبدو البريد الإلكتروني شرعيًا – فالمرسل من نطاق Google.
ولحسن الحظ لمتخصص تكنولوجيا المعلومات، فقد كان حريصًا بما فيه الكفاية لبدء فحص الأشياء. وبينما بدا رقم الهاتف شرعيًا، بدا مجال البريد الإلكتروني مريبًا. لم يأت من خادم جوجل. وذلك عندما أدرك أنه كان يتحدث إلى الذكاء الاصطناعي:
قال المتصل مرحبًا، لقد تجاهلته بعد حوالي 10 ثوانٍ، ثم قال مرحبًا مرة أخرى. في هذه المرحلة قمت بإصداره كصوت الذكاء الاصطناعي لأن النطق والتباعد كانا مثاليين للغاية.
كنت في السيارة في تلك اللحظة، متوقفة.
أغلقت الخط وتوجهت إلى المنزل لإجراء المزيد من الحفر.
في تلك اللحظة صدمني الأمر – لو كانت مكالمة الذكاء الاصطناعي حقًا، لكان بإمكاني “إعادة برمجتها” وحثها على أن تغني لي أغنية وما إلى ذلك.
رد الاتصال لم يسفر عن أية نتائج. قام ميتروفيتش بالتحقيق في الأمر بشكل أكبر، واكتشف أن أشخاصًا آخرين تعرضوا لعملية احتيال مماثلة.
كما تأكد أيضًا من عدم وصول أي شخص إلى حسابه، حيث لم يجد أي نشاط مشبوه في حسابه على Google. وهذا يثبت أن ادعاءات الشخص الداعم المفترض كانت مزيفة.
الهدف من الأمر برمته هو أن تثق الضحية في النهاية بممثل Google وتوافق على التحقق من حسابها. من المحتمل أنهم نقروا على رابط ينقلهم إلى موقع ويب يشبه Google. ولكن كان من الممكن أن يكون موقع ويب احتياليًا يهدف إلى الحصول على كلمة المرور المرتبطة بحساب البريد الإلكتروني.
يشرح المهندس “الهبات” أنه كان هدفًا لعملية الاستيلاء على حساب Gmail:
- لقد تلقيت إشعارات استرداد الحساب التي لم أبدأها.
- لا تتصل Google بمستخدمي Gmail إذا لم يكن الملف الشخصي للأعمال على Google متصلاً.
- تحتوي رسالة البريد الإلكتروني على عنوان بريد إلكتروني “إلى” غير متصل بنطاق Google.
- لم تكن هناك جلسات نشطة أخرى على حساب Google الخاص بي باستثناء جلساتي.
- أظهرت رؤوس البريد الإلكتروني كيف تم انتحال البريد الإلكتروني.
- أظهر البحث العكسي عن الأرقام الآخرين الذين تلقوا نفس مكالمة الاحتيال.
إذا كنت قلقًا بشأن سلامة حسابك (حساباتك) في Gmail، فتأكد من إعداد كلمة مرور قوية وفريدة لكل موقع. إن مديري كلمات المرور مثل 1Password وApple Passwords وProton Pass هم أصدقاؤك. يجب عليك أيضًا تمكين مفاتيح مرور حساب Google إذا استطعت.
بعد ذلك، عند التعامل مع مكالمات الدعم التي قد تبدو وكأنها حقيقية، تذكر أننا نعيش في عالم الذكاء الاصطناعي الجيني حيث كل شيء ممكن. لا تتخذ أي إجراء في الوقت الحقيقي. بدلاً من ذلك، اطلب منهم معاودة الاتصال بك. اطلع على مشاركة مدونة ميتروفيتش الكاملة حول هذا الموضوع أيضًا، حيث أنها تحتوي على صور يمكن أن تساعدك في تحسين ممارسات الأمان في Gmail.
ورغم أن هذا الهجوم وقع قبل نحو شهر، إلا أنه حظي باهتمام أكبر في الآونة الأخيرة. حدث ذلك في نفس الوقت تقريبًا الذي أطلقت فيه Google مبادرة جديدة لتحسين الدفاع ضد عمليات الاحتيال عبر الإنترنت. تم الإعلان عن مبادرة Global Signal Exchange (GSE) الجديدة يوم الجمعة، وهي عبارة عن شراكة بين Google والتحالف العالمي لمكافحة الاحتيال واتحاد أبحاث DNS لمحاربة عمليات الاحتيال والاحتيال.
ومن غير الواضح أيضًا ما إذا كانت محاولات الاستيلاء على حساب Gmail هذه والتي تتضمن منتجات الذكاء الاصطناعي المنتجة قد ألهمت Google لاتخاذ أي إجراء. نأمل أن يكون هذا النوع من الاحتيال على رادار Google لمبادرة GSE الجديدة.
