2024 年 5 月、FBI は、詐欺に人工知能 (AI) を使用するサイバー犯罪者の脅威が高まっていることについて 警告 しました。
当時、FBI のロバート・トリップ特別捜査官は次のように述べました。
「攻撃者は AI を活用して、非常に説得力のある音声またはビデオ メッセージや電子メールを作成し、個人や企業に対する詐欺計画を可能にしています。これらの高度な戦術は、壊滅的な経済的損失、評判の失墜、機密データの漏洩につながる可能性があります。」
この警告を軽視すべきではありません。��これは特に、サイバー犯罪者が利用できる AI ツールが比較的低コストであるためです。ある調査では、高度で洗練されたメール攻撃のコストは わずか 5 ドルから であることが研究者によって判明しました。
FBI も 警告 しており、迷惑メールやテキスト メッセージを受信する際には注意が必要です。フィッシング詐欺師は AI ベースのフィッシング攻撃 を使用しており、フィッシング キャンペーンの有効性を高めることが証明されています。また、AI を利用したツールを使って、セキュリティ フィルターを回避できるメールを作成しています。これを ディープフェイク 対応のロボコールと組み合わせると、これらの方法で多くの人を騙すことができます。
攻撃に使用されている要素はどれも目新しいものではありませんが、組み合わせることでキャンペーンが非常に効果的になる可能性があります。
Gmail ユーザーをターゲットにしたキャンペーンでは、これらの要素の一部がすべて組み合わされています。多くの場合、ユーザーへの電話から始まり、Gmail アカウントが侵害されたと主張します。目標は、アカウントを復元するために必要だと主張して、ターゲットにユーザーの Gmail 回復コードを犯罪者に提供するよう説得することです。
同じ頃、発信者が主張している事態に信憑性を�持たせるために、本物の Google ドメインと思われるものから、ユーザーは正真正銘のメールを受信します。
リカバリコードを使用すると、犯罪者はターゲットの Gmail だけでなく、多くのサービスにもアクセスできるようになり、個人情報の盗難 につながる可能性もあります。
エージェント AI 攻撃について警告しているとき、これは予想される攻撃の例です。
FBI は、訪問者にログインを求める一見正当な Web サイトへのリンクを含む迷惑メールやテキスト メッセージについて警告を追加しましたが、リンクされた Web サイトは認証情報を盗むために特別に設計された偽物です。
過去に見てきたように、これらのサイトは セッション クッキーを盗む ように設計されている場合もあります。時間枠内にその Web サイトに戻るたびに、ログインする必要はありません。これは非常に便利です...ただし、誰かがシステムからそのクッキーを盗むことができれば別です。サイバー犯罪者がセッション クッキーを盗むことができれば、あなたとしてログインし、パスワードを変更して、アカウントを乗っ取ることができます。
AI Gmail フィッシングを回避する方法
- 予期しないメールやメッセージからリンクをクリックしたり、ファイルをダウンロードしたりしないでください。
- 正当なものであると確信が持てない限り、Web サイトで個人情報��を入力しないでください。
- 信頼できるサイトでのみ、パスワード マネージャーを使用して認証情報を自動入力してください。
- 不正アクセスやデータ漏洩の兆候がないかアカウントを監視します。
- メール内のリンクを使用するのではなく、Google アカウント ページに直接アクセスしてセキュリティ アラートを確認します。
- すべてのアカウントで 多要素認証 (MFA) を使用します。
- 最新の セキュリティ ソフトウェア (Malwarebytes Premium Security など) を使用してデバイスを保護し、モバイル デバイスで テキスト保護とテキスト メッセージ フィルタリング を使用します。