A legveszélyesebb átverés típus: amikor te magad adod oda a pénzed
Az internetes csalások mára messze túlléptek a klasszikus módszereken. Nem feltétlenül akkor a legveszélyesebbek, amikor egy gyanús linkre kattintunk vagy egy furcsa e-mailt nyitunk meg. Egyre inkább terjednek az úgynevezett „scam-yourself” típusú átverések, amelyek lényege, hogy az áldozat saját maga hajtja végre azokat a lépéseket, amelyek végül a csalókat segítik. A mesterséges intelligencia megjelenése ezt a folyamatot tovább gyorsította és sokkal hatékonyabbá tette.
Mi az a „scam-yourself” támadás?
A módszer alapelve egyszerű, mégis rendkívül hatékony. A támadók nem technikai sérülékenységeket keresnek, hanem az emberek bizalmára építenek, és arra veszik rá őket, hogy önként hajtsanak végre a csalók számára kedvező műveleteket. Nincs kártékony szoftver, nincs klasszikus adathalász link, és nincs közvetlen jelszólopás sem. A siker kulcsa egy meggyőző történet és egy pontosan megfogalmazott utasítássor, amelyet az áldozat mindenféle kényszer nélkül követ.
Ez a szociális manipulációra épülő megközelítés egyre gyakrabban párosul generatív AI-eszközökkel, és nagy elérésű csatornákon terjed, például e-mailben, SMS-ben vagy a közösségi médiában. Ennek köszönhetően gyorsan skálázható, miközben sok esetben teljesen elkerüli a hagyományos biztonsági rendszereket.
A YouTube-os deepfake „kriptó tanácsadók” esete
Jó példát szolgáltat erre az a riport, amelyet biztonsági kutatók dokumentáltak, és amelyben több mint ötszáz YouTube-videó használt mesterséges intelligenciával generált, valódinak tűnő „kriptó tanácsadókat”. Ezek a deepfake videók olyan eszközöket népszerűsítettek, amelyek azt ígérték, hogy a különböző blokklánc-hálózatok közötti árkülönbségeket automatikusan kihasználják.
A csalás során az áldozat először megnézett egy professzionálisnak tűnő, hitelesen előadott videót, majd az ott elhangzottak alapján kódot másolt ki és illesztett be egy fejlesztői környezetbe. Ezt követően egy okosszerződés finanszírozására került sor, amely látszólag minden szükséges lépést automatikusan végrehajtott. A valóságban azonban a kód közvetlenül a támadók által ellenőrzött tárcába irányította az áldozat pénzét, miközben technikailag minden műveletet maga az áldozat indított el.
A megtévesztést tovább erősítette a domain-utánzás (typosquatting) alkalmazása. Olyan webcímek jelentek meg, amelyek csak egyetlen betűben tértek el a jól ismert oldalak címétől, például a „tradlngview.com” a „tradingview.com” helyett. Ez sok esetben elég volt ahhoz, hogy a felhasználók ne vegyék észre a különbséget, és ne kapjanak egyértelmű biztonsági figyelmeztetést.
Miért működik ez az átverés ma ilyen jól?
Az ilyen típusú támadások azért különösen hatékonyak, mert szinte minden hagyományos védekezési módszert megkerülnek. Nincs kártékony fájl, amit egy vírusirtó karanténba helyezhetne, nincs ellopott jelszó, amit vissza lehetne állítani, és nincs klasszikus phishing-link, amelyet egyszerűen blokkolni lehetne. A támadók ehelyett az emberi tényezőt célozzák meg, vagyis a bizalmat, a megszokásokat és azt az érzést, hogy egy ismerős, hiteles helyzettel állunk szemben. A mesterséges intelligencia segítségével mindezt gyorsan, nagy tömegben és meggyőző formában tudják megvalósítani.
Hogyan védekezhetünk?
Az ilyen támadások ellen ma már nincs egyszerű technikai megoldás. A védekezés egyre inkább azon múlik, hogy a felhasználó mennyire tudatos. Fontos, hogy még hitelesnek tűnő oldalak esetén is ellenőrizzük a webcímeket, mert egyetlen betű eltérés is komoly különbséget jelenthet. Érdemes minden ilyen helyzetben feltenni a kérdést, hogy miért van szükség idegen forrásból származó kód másolására és futtatására, illetve pontosan milyen műveletet hajtunk végre vele. Különösen óvatosnak kell lenni a túlságosan profi, már-már tökéletes prezentációkkal szemben, mert a valódi szakértők nem kérnek vakon követett lépésekre, főleg nem pénzügyi tranzakciók esetén.
Az internet biztonsága ma már nem kizárólag szoftverekről és hardverekről szól. Egyre inkább az emberi tényezőn múlik, vagyis azon, hogy mennyire értjük, mi történik körülöttünk, és mennyire vagyunk hajlandók megállni egy pillanatra, mielőtt cselekszünk.