Эксперты Kaspersky выяснили, как большие языковые модели (LLM) изменили подход злоумышленников к созданию фишинговых сайтов. LLM позволяют автоматизировать создание уникального контента высокого качества, что усложняет обнаружение мошеннических страниц. Однако низкий уровень контроля при массовой генерации контента оставляет на таких страницах артефакты, свидетельствующие о применении LLM. Они и выдают мошенников.
Рост возможностей (capability uplift) — ключевой фактор, из-за которого даже пользователи с низким уровнем развития технических навыков могут с помощью LLM организовывать кибератаки. Это позволяет злоумышленникам генерировать сотни уникальных веб-страниц, например поддельные сайты известных организаций, магазины с «невероятными скидками» и фальшивые платформы для ввода учётных данных.
Если ранее автоматизация в этой области ограничивалась техническими аспектами (созданием доменов и размещением сайтов), то теперь LLM позволяют наполнять страницы качественным контентом, что значительно усложняет их обнаружение. Тем не менее злоумышленники нередко допускают ошибки, указывающие на использование языковых моделей: отказ выполнить запрос, извинения, уточнения, такие как слова delve (погружаться) или выражения типа in the ever-evolving world (в постоянно развивающимся мире).
На поддельных страницах криптовалютных платформ (Crypto[.]com, MetaMask, KuCoin) эксперты Kaspersky зафиксировали использование злоумышленниками специальных символов для обхода детектирования: Kucoin® Loᘜin. Также были найдены ошибки в мета-тегах — фрагменты извинений языковых моделей: «I’m sorry, but I don’t have enough information to generate a useful meta description…» (Мне очень жаль, но у меня недостаточно информации для создания полезного мета-описания).
«Большие языковые модели открывают злоумышленникам новые возможности, но они же их и выдают. Это касается контента в разных его видах, от текстов, которые используются при реализации фишинговых атак, до аудио- и видео-дипфейков. Пользователям важно критически оценивать любую информацию в интернете, особенно если речь идет о финансовых или персональных данных. В будущем отличить текст, созданный LLM, станет ещё сложнее, но развитие технологий детектирования поможет эффективнее противостоять этим угрозам», — комментирует Дмитрий Аникин, старший исследователь данных Kaspersky.
Автоматизация с использованием LLM — это вызов для разработчиков средств защиты. Для противодействия новым угрозам пользователям важно:
- внимательно проверять URL-адреса сайтов и избегать переходов по сомнительным ссылкам;
- обращать внимание на подозрительные признаки, такие как грамматические ошибки или типовые фразы;
- использовать современные защитные решения, которые предотвратят попытки перехода на потенциально опасные страницы.