Δεν υπάρχει αμφιβολία ότι φέτος θα προκύψουν σοβαρές νέες απειλές που θα τροφοδοτούνται από επιθέσεις με τη χρήση τεχνητής νοημοσύνης (ΑΙ), καθιστώντας τις πιο δύσκολες στον εντοπισμό και ακόμη πιο καταστροφικές. Ωστόσο, κάποιες φορές, όσο έξυπνη κι αν φαίνεται μια επίθεση, η αντιμετώπισή της είναι εξαιρετικά απλή. Και ποτέ δεν ήταν πιο κρίσιμο να τηρούμε τα βασικά και να μην παρασυρόμαστε από δόλιες τακτικές.
Αυτό ισχύει και για τη νέα προειδοποίηση της Google, αφού επιβεβαίωσε την πιο πρόσφατη «επίθεση που βασίζεται στην τεχνητή νοημοσύνη» σε κατόχους λογαριασμών της – δηλαδή στο Gmail. Η επίθεση ήταν τρομακτικά έξυπνη, αυτό είναι αδιαμφισβήτητο, αλλά θα έπρεπε να είχε σταματήσει από την αρχή.
Ο στόχος ήταν ένας ιδιαίτερα εξοικειωμένος με την τεχνολογία μηχανικός, ο οποίος την περιέγραψε ως «την πιο εξελιγμένη phishing επίθεση που έχω δει ποτέ». Έχω καλύψει την υπόθεση, αλλά αρχικά αναφέρθηκε από το The Register, το οποίο ανέφερε ότι «η Google λέει πως ενισχύει πλέον τις άμυνές της ενάντια σε ένα περίπλοκο σχέδιο κατάληψης λογαριασμών, το οποίο καταγράφηκε από έναν προγραμματιστή την περασμένη εβδομάδα».
Η επίθεση ξεκίνησε με μια κλήση από την ομάδα υποστήριξης της Google, η οποία προειδοποιούσε ότι κάποιος προσπάθησε να αποκτήσει πρόσβαση στον λογαριασμό του θύματος από το εξωτερικό. Ο αριθμός τηλεφώνου φαινόταν νόμιμος και η κλήση συνοδεύτηκε από ένα email από έναν φαινομενικά έγκυρο τομέα της Google. Η αλληλεπίδραση συνεχίστηκε για αρκετή ώρα και η επίθεση αποτράπηκε μόνο όταν ο ψεύτικος προϊστάμενος του απατεώνα έκανε ένα λάθος στη συνομιλία.
Google: Οι πέντε προσωπικότητες που έψαξαν οι Έλληνες το 2024
Ωστόσο, η Google θέλει να τονίσει ότι η κατάσταση δεν θα έπρεπε να είχε φτάσει τόσο μακριά. Η εταιρεία μου ζήτησε να «επαναλάβω στους αναγνώστες σας ότι η Google δεν θα σας καλέσει ποτέ για να επαναφέρετε τον κωδικό πρόσβασής σας ή να επιλύσετε προβλήματα του λογαριασμού σας».
Η Google έχει αναστείλει τον λογαριασμό του επίδοξου επιτιθέμενου, ο οποίος «χρησιμοποίησε έναν μη επαληθευμένο λογαριασμό Workspace για να στέλνει αυτά τα παραπλανητικά email» και δηλώνει ότι «ενισχύουμε την άμυνά μας ενάντια σε κακόβουλους χρήστες που εκμεταλλεύονται αναφορές g.co κατά την εγγραφή, ώστε να προστατεύσουμε περαιτέρω τους χρήστες». Αυτό στοχεύει στο να εμποδίσει τους επιτιθέμενους από το να μιμούνται τομείς της Google.
Αλλά ας επιστρέψουμε στα βασικά – αυτό δεν θα έπρεπε να είχε συμβεί. Η Google αναφέρει ότι «δεν έχουμε δει στοιχεία ότι πρόκειται για μια ευρέως διαδεδομένη τακτική», εννοώντας την εξελιγμένη φύση αυτής της συγκεκριμένης επίθεσης. Ήταν περίπλοκη και ιδιαίτερα στοχευμένη. Ωστόσο, η μάστιγα των ψεύτικων κλήσεων υποστήριξης είναι διαδεδομένη.
Και δεν περιορίζεται μόνο στην τεχνική υποστήριξη. Οι ίδιες τακτικές χρησιμοποιούνται από ψεύτικους τραπεζικούς υπαλλήλους, προσωπικό ανταλλακτηρίων κρυπτονομισμάτων και ακόμη και από άτομα που προσποιούνται ότι είναι αστυνομικοί.
Το μεγαλύτερο πρόβλημα είναι ότι ο περισσότερος κόσμος δεν γνωρίζει επαρκώς πως η Google, η Apple, η Meta ή οποιαδήποτε άλλη εταιρεία τεχνολογίας δεν θα σας καλέσουν ξαφνικά. Ούτε καμία τράπεζα θα σας ζητήσει να μεταφέρετε χρήματα ή να αλλάξετε στοιχεία λογαριασμού κατά τη διάρκεια μιας απροσδόκητης τηλεφωνικής κλήσης. Όπως επίσης κανένας αστυνομικός δεν θα σας καλέσει ποτέ ζητώντας πληρωμή για να αποφύγετε σύλληψη.
Δεν υπάρχει καμία μομφή προς τον μηχανικό που παραλίγο να πέσει θύμα αυτής της εξελιγμένης phishing επίθεσης. Είναι εξαιρετικά εύκολο για τους απατεώνες να πλαστογραφήσουν αριθμούς τηλεφώνου και διευθύνσεις email. Και η τεχνητή νοημοσύνη κάνει αυτή τη διαδικασία ακόμη πιο επικίνδυνη.
Το ζήτημα είναι ότι οι περισσότεροι χρήστες εξακολουθούν να μην γνωρίζουν πως μια ομάδα τεχνικής υποστήριξης δεν θα τους καλέσει ποτέ. Ο φόβος μιας παραβίασης ή ενός προβλήματος στη συσκευή, σε συνδυασμό με μια αίσθηση επείγοντος, αρκεί για να μετατρέψει έναν ανυποψίαστο χρήστη σε θύμα.
Το FBI έχει απαντήσει στο τελευταίο κύμα τραπεζικών τηλεφωνικών απατών με μια ξεκάθαρη προειδοποίηση: ποτέ μην απαντάτε σε τέτοιες κλήσεις, καθώς οι τράπεζες δεν θα σας καλέσουν. Το ίδιο έχουν κάνει και οι τελωνειακές υπηρεσίες (CBP) και πολλές τοπικές αστυνομικές αρχές.
Χαιρετίζω τη σαφή τοποθέτηση της Google, αλλά αυτή η προειδοποίηση πρέπει να βρίσκεται στο προσκήνιο στις σελίδες υποστήριξης και τις εφαρμογές της, καθώς και σε όλες τις άλλες τεχνολογικές εταιρείες.
Η γενική προειδοποίηση του FBI είναι ξεκάθαρη:
«Νόμιμες εταιρείες εξυπηρέτησης πελατών, ασφάλειας ή τεχνικής υποστήριξης δεν θα ξεκινήσουν ποτέ απρόκλητη επικοινωνία με ιδιώτες.»
Δεν θα σας καλέσουν ποτέ ξαφνικά – και δεν πρέπει ποτέ να απαντήσετε σε τέτοιες κλήσεις.
Μερικές φορές, το να κάνετε το εξαιρετικά απλό αρκεί για να παραμείνετε ασφαλείς.
