AI Crazy
New member
Các nhà nghiên cứu Unit 42 cảnh báo tin tặc có thể dùng mô hình ngôn ngữ lớn (LLM) để sinh trang phishing động ngay trong trình duyệt. Kỹ thuật này tạo mã JavaScript tùy biến từ API LLM hợp pháp, khiến trang lừa đảo khó bị phát hiện.
Kẻ tấn công dẫn nạn nhân vào một trang web có vẻ vô hại. Khi trang được tải, nó gửi các prompt được thiết kế kỹ lưỡng tới một API LLM hợp pháp.
API trả về mã JavaScript được tạo động — mã này khác nhau cho từng người dùng — rồi được ghép và chạy trực tiếp trong trình duyệt. Kết quả là nạn nhân thấy một trang phishing hoàn chỉnh, cá nhân hóa và không có payload tĩnh nào truyền qua mạng để các hệ thống truyền thống dễ dàng bắt giữ.
Đây hiện là một bằng chứng khái niệm do Unit 42 trình bày; họ chưa khẳng định đã thấy tấn công dạng này ngoài đời thực, nhưng các thành phần cần thiết đã sẵn có. Các mô hình LLM đã được dùng để sinh mã JavaScript che giấu, và số lượng chiến dịch mã độc, ransomware hay gián điệp hỗ trợ LLM đang tăng.
Unit 42 nhấn mạnh phishing sinh động có thể là xu hướng tiếp theo của lừa đảo trực tuyến, nhưng vẫn có thể phát hiện nếu sử dụng trình thu thập thông tin dựa trên trình duyệt mạnh hơn.
Các chuyên gia đề xuất hạn chế sử dụng dịch vụ LLM không được cấp phép trong môi trường làm việc, triển khai giám sát và bảo vệ điểm cuối, và nâng cấp các crawler dựa trên trình duyệt để phát hiện trang sinh động. Ngoài ra, nhà cung cấp LLM cần tăng cường biện pháp an toàn để giảm khả năng bị lợi dụng thông qua prompt engineering.
Nguồn: Techradar
Phương thức tấn công
Kẻ tấn công dẫn nạn nhân vào một trang web có vẻ vô hại. Khi trang được tải, nó gửi các prompt được thiết kế kỹ lưỡng tới một API LLM hợp pháp.
API trả về mã JavaScript được tạo động — mã này khác nhau cho từng người dùng — rồi được ghép và chạy trực tiếp trong trình duyệt. Kết quả là nạn nhân thấy một trang phishing hoàn chỉnh, cá nhân hóa và không có payload tĩnh nào truyền qua mạng để các hệ thống truyền thống dễ dàng bắt giữ.
Thực trạng và rủi ro
Đây hiện là một bằng chứng khái niệm do Unit 42 trình bày; họ chưa khẳng định đã thấy tấn công dạng này ngoài đời thực, nhưng các thành phần cần thiết đã sẵn có. Các mô hình LLM đã được dùng để sinh mã JavaScript che giấu, và số lượng chiến dịch mã độc, ransomware hay gián điệp hỗ trợ LLM đang tăng.
Unit 42 nhấn mạnh phishing sinh động có thể là xu hướng tiếp theo của lừa đảo trực tuyến, nhưng vẫn có thể phát hiện nếu sử dụng trình thu thập thông tin dựa trên trình duyệt mạnh hơn.
Dấu hiệu cần cảnh giác
- Trang xuất hiện cá nhân hóa bất thường, yêu cầu thông tin nhạy cảm ngay lập tức.
- Thanh địa chỉ hiển thị tên miền lạ hoặc đường dẫn rút gọn không rõ nguồn gốc.
- Trình duyệt hiện cảnh báo về script chạy hay tài nguyên bên thứ ba, nhưng nội dung vẫn hoạt động bình thường.
- Yêu cầu nhập mật khẩu, mã OTP hoặc thông tin thẻ ngay sau khi tải trang từ link không tin cậy.
Biện pháp phòng ngừa cho người dùng
- Không nhấp vào link lạ trong email, tin nhắn hoặc mạng xã hội; truy cập trang bằng cách gõ trực tiếp địa chỉ đáng tin cậy.
- Kiểm tra chứng chỉ SSL và tên miền; nếu có dấu hiệu bất thường, đóng trang ngay và không nhập thông tin.
- Bật xác thực đa yếu tố (MFA) cho tài khoản quan trọng để giảm nguy cơ bị chiếm đoạt.
- Cập nhật trình duyệt và tiện ích mở rộng bảo mật thường xuyên, sử dụng phần mềm chống mã độc uy tín.
Khuyến nghị cho tổ chức
Các chuyên gia đề xuất hạn chế sử dụng dịch vụ LLM không được cấp phép trong môi trường làm việc, triển khai giám sát và bảo vệ điểm cuối, và nâng cấp các crawler dựa trên trình duyệt để phát hiện trang sinh động. Ngoài ra, nhà cung cấp LLM cần tăng cường biện pháp an toàn để giảm khả năng bị lợi dụng thông qua prompt engineering.
Nguồn: Techradar
Bài viết liên quan