Хакери почали застосовувати генеративний ШІ для створення підроблених сторінок входу — їх майже неможливо відрізнити від справжніх. Microsoft і Google попереджають: навіть подвійна автентифікація не рятує. Про це пише американський Forbes.
Що сталося
Компанії Microsoft і Google попереджають користувачів про нову хвилю загроз — зловмисники дедалі активніше використовують генеративний ШІ (GenAI) для створення фішингових сайтів, які важко відрізнити від справжніх. Це ставить під загрозу навіть ті акаунти, які захищено двофакторною автентифікацією (2FA).
За даними компанії Okta, яка спеціалізується на кібербезпеці, хакери почали активно застосовувати інструмент v0 від Vercel — інноваційний генеративний AI для створення майже ідентичних копій сторінок входу, зокрема Microsoft, Google, Okta та інших. Ці сайти виглядають так само як справжні, тому користувачі легко вводять свої паролі, відкриваючи доступ до акаунтів.
Хакери використовують генеративний ШІ для:
- створення копій сторінок входу з офіційним дизайном і текстами;
- обходу двофакторної автентифікації, особливо якщо вона базується на SMS-кодах;
- швидкої автоматизації масових атак, які важко виявити традиційними методами.
В інтернеті вже з’явилося відео, як за кілька хвилин створити фішингову сторінку з допомогою AI, яка копіює інтерфейс Google чи Microsoft.
Чому це важливо
Це сигнал до глобальної зміни в безпеці акаунтів: класичні паролі навіть з 2FA більше не гарантують захисту. Google і Microsoft вже оголосили про перехід на ключі доступу (passkeys) — більш безпечну альтернативу паролям. Це метод, який базується на біометрії або PIN-коді пристрою і не потребує введення текстового пароля взагалі.
Microsoft заявив, що вже працює над тим, щоб прибрати паролі для понад мільярда користувачів, а Google вимагає від більшості акаунтів увімкнути ключі доступу.
Що робити для безпеки
- Додайте ключі доступу (passkeys) до всіх сервісів, де вони доступні (Google, Microsoft, Apple тощо).
- Якщо паролі ще потрібні — вони мають бути довгими, унікальними і з 2FA через застосунок (не через SMS).
- Не вводьте дані на сторінках, які відкрились із листів або підозрілих посилань.
- Проводьте регулярну перевірку акаунтів та активність входів.