이 AI로 생성된 암호화폐 송장 사기는 거의 나를 당하게 했고, 나는 보안 전문가인데
'This AI-generated cryptocurrency invoice fraud almost got me, and I'm a security expert.
지난 6개월 동안 ENBLE에서 글쓰기로부터 꼭 필요한 휴식을 가졌습니다. 이제 저는 돌아왔습니다 – 그리고 제가 말해야 할 첫 번째 것은 저는 멍청한 사람이라는 것입니다.
제가 떠나 있는 동안, 콘텐츠 크리에이션 전문가로서 생성적 인공지능(AI)과 대형 언어 모델(LLM)에 대해 많은 경험을했습니다. 이는 생산성 향상을 위한 강력한 도구로서와 창의적인 조수로서의 역할을 합니다. 그러나 모든 기술과 마찬가지로 그림자면도와 남용의 가능성이 있습니다.
또한: 악의적 사용자에 의해 ChatGPT가 사용될 수 있는 6가지 해로운 방법
지난 주, 나는 거의 확실히 AI 보조 피싱 시도의 대상이 되었습니다. 나는 거의 피해자가 되었을 것입니다. 이에 대해 전문적으로 글을 쓰고 피싱 공격으로부터 기업을 보호하는 주요 정보보안 기업의 위협 분석가로 이전에 고용되었음에도 불구하고요.
더 잘 알았어야 했을까요? 절대 그렇습니다.
- 1년짜리 코스트코 멤버십을 구매하시면 지금 무료로 30달러 상품권을 받...
- 이 새로운 Threads 기능은 비활성 사용자를 되살릴 수 있을 것입니다.
- 최고의 전동 스크류드라이버 DIY 및 수리 작업을 절반의 시간으로 완료...
그러나 우리는 인간으로써 사기를 인식하는 능력이 우리가 얼마나 잘 훈련되었는지에 따라 좋습니다. 그 능력의 일부는 가짜와 진짜를 구별하고, 무언가가 이상하다고 느낄 때 고대의 파충류 뇌가 울부짖을 수 있도록 훈련하는 데 있습니다.
또한: 생성적 AI는 모두에게 새로운 위험을 가져옵니다. 안전하게 유지하는 방법
그러나 무언가가 충분히 진짜로 보인다면, 경험이 많은 사람조차 어리석은 일을 할 수 있습니다. 그 사람은 바로 제가 되었습니다.
AI를 이용한 피싱에 대한 내 경험
지난 몇 주 동안, 저는 Stripe라는 암호화폐 거래에 자주 사용되는 결제 처리 업체에서 보내는 송장과 매우 유사한 이메일을 받았습니다. 이 이메일은 매우 진짜처럼 보이는 HTML 형식의 메시지이며, Coinbase를 통한 암호화폐 구매에 대한 송장처럼 보이는 PDF 첨부 파일을 포함하고 있습니다.
PayPal 송장을 위장한 피싱 이메일.
진짜처럼 보이는 888 고객 지원 전화 번호가 있는 PayPal을 통한 가짜 Coinbase 결제 첨부 PDF.
나는 형식, 어구 및 맞춤법 오류가 쉽게 감지할 수 있는 피싱 이메일을 보는 데 익숙합니다. 때로는 이메일 제목 필드도 알 수 없는 벤더나 서비스 제공자의 공식 통신이 아닌 이상한 문자처럼 보입니다.
또한: 현재 최고의 여행용 VPN: 전문가의 테스트와 검토
또한, 나는 은행이나 벤더 사이트를 가리키는 링크가 있는 피싱 시도를 종종 보게 됩니다. 거기에서 자격 증명을 입력하도록 요구되고 암호를 공개하게 됩니다. 이러한 종류의 피싱 이메일을 받을 때마다 경고음이 울리고 신고합니다.
그 중 많은 것들은 너무 분명히 피싱 메일이기 때문에 내 받은 편지함에 들어가지 않고 스팸으로 바로 이동합니다. 또한, 링크를 클릭하지 않도록 내 뇌를 훈련시켰으며, 이 이메일의 링크 중 어느 것도 클릭하지 않았습니다.
그러나 이 경우에는 Gmail이 피싱 시도를 스팸으로 표시하지 않았습니다. 송장과 이메일 언어가 너무 잘 쓰여져 있고 형식이 잘되어 있어 Gmail과 내 인간 필터를 피하기 위해 AI가 사용되었을 가능성이 매우 높습니다. 게다가 나는 암호화폐를 구매하지 않기 때문에 “진짜” 송장이 어떻게 생겼는지 모릅니다.
또한: SanDisk/Western Digital 데이터 손실 재앙에 대한 정보
이제, 이메일이나 PDF의 텍스트가 AI에 의해 최적화되었다는 것을 증명하는 쉬운 방법은 없지만, 지난 한 해 동안 무료로 쉽게 사용할 수 있는 AI 도구들이 이러한 작성에 사용되었을 가능성이 점점 높아지고 있습니다.
이것은 생성적 AI의 위험 중 하나입니다. 이러한 도구들은 텍스트와 이미지를 생성하여 완벽한 통신을 위조할 수 있습니다.
인간 요소의 절충, 두 번째 단계
이 매우 설득력 있는 피싱 캠페인의 다른 단계는 송장에 무료 888 지원 번호가 있으며 해당 거래를 인식하지 못할 경우 전화하라는 지시가 포함되어 있습니다.
또한: 사기꾼들은 AI를 사용하여 당신의 가족을 가장합니다.
800과 888 전화번호는 종종 텔레마케팅 목적으로 스푸핑되지만, FCC가 발급 내역을 추적하기 때문에 합법적인 기관들에 의해 콜센터로 사용됩니다. 그러나 나쁜 사람들이 자신들의 콜센터로 사용하고 있다는 것을 알게 되었습니다.
PayPal의 실제 전화번호입니다.
나는 내 이메일이 금융 거래에 사용되는 것을 걱정해서, 나는 이 전화번호에 전화를 걸었고, 그것이 바로 PayPal인 줄 알았는데, 인도의 한 바쁜 콜센터에 연결되었고, 그곳의 대표가 나에 대한 충분한 세부 정보를 알고 있어서 무섭게도 진짜 같았습니다.
또한: 우리는 선거에 대한 생성적 AI의 영향에 준비되어 있지 않습니다.
그는 오하이오, 중국, 텍사스, 뉴저지에 있는 일부 장치들이 이 Stripe 서비스를 통해 Coinbase를 통해 암호화폐 거래를 시도하고 있다고 말했습니다. 그러나 최종 게이팅 단계로 인해 거래가 이루어지지 않았다고 합니다. 다행이네요.
Google은 생성적 AI를 사용하여 진짜 전화번호를 제공해줍니다. 바랍니다.
그러나 나의 PayPal 프로필에서 해당 장치들을 제거하고, 이 가짜 이메일을 더 이상 받지 않도록 계정을 플래그 처리하기 위해, 그는 나의 Amazon 계정에 연결된 이메일과 전화번호로 보낼 코드를 그에게 보내야 했습니다.
이 때 깨달았어야 했는데, 그러지 않았습니다. 그 시점에는 아침 8시였고, 에스프레소 음료 한 잔으로는 아직 피로가 풀리지 않았습니다.
또한: 현재 최고의 보안 키: 전문가 테스트 완료
그 코드들은 Amazon 계정의 액세스 권한을 잃은 경우에 사용할 2단계 인증(2FA) 코드입니다. 그 코드들을 아무에게도 제공해서는 안됩니다.
사실, 나는 그 사람에게 첫 번째 2FA 코드를 보내는 바보 같은 짓을 했고, 그리고 그가 “플래그”를 하기 위해 내가 어떤 마스터카드를 사용하는지 물었을 때, 내 도망치지 않은 부분이 깨어났습니다. 전화를 끊고 나서 즉시 PayPal과 Amazon의 비밀번호를 모두 재설정했습니다.
그런 다음 PayPal의 실제 전화번호인 1 (888) 221-1161을 찾아서 사기 및 보안 부서에 전화했고, 그들은 나가 피싱 피해자라고 말하고 이메일을 그들의 오용 신고 부서인 [email protected]으로 전달하라고 했습니다.
또한: AI 금 러시로 인해 기본 데이터 보안 위생이 중요해집니다.
그리고 그 PayPal 콜센터는 인도에 위치하고 있으며 가짜 콜센터와 정확히 같은 소리로, 똑같이 진짜 같은 888 번호를 사용하고 있었습니다. 사람들은 조심해야 합니다.
당신은 매우 정교한 피싱 공격에 거의 피해자가 되기 일보직전이었나요? 이야기를 나누어 보세요.
