«Дырявые устройства»: как нас обманывают через голосовые помощники

Как мошенники обманывают пользователей Siri и Google Assistant

Fayaz Aziz/Reuters
Голосовые ассистенты, такие как Siri, Alexa или Google Assistant, прочно вошли в нашу жизнь. Однако эксперты по кибербезопасности предупреждают, что не стоит отдавать все задачи на откуп искусственного интеллекта — интернет-мошенники разработали схему, направленную на тех, кто совершает звонки через помощника и не набирает номер телефона самостоятельно.

Пользователь смартфона может стать жертвой мошенников, совершая звонки с помощью голосового ассистента, сообщает Mashable со ссылкой на исследование Better Business Bureau. Киберзлоумышленники разработали новый способ, который эксплуатирует зависимость современных юзеров от смарт-ассистентов, например Siri или Google Assistant.

Работает эта схема довольно просто — пользователю нужно позвонить в какую-либо компанию, номер которой он не знает. Тогда он просит голосового ассистента «позвони в компанию N», чтобы он сам нашел номер и набрал его.

Но вместо того, чтобы позвонить в банк или в авиакомпанию, ассистент звонит мошеннику, который выдает себя за сотрудника легальной компании и пытается выманить у пользователя данные его банковской карты, чтобы похитить денежные средства.

Это становится возможным, когда злоумышленник покупает рекламу внутри поисковой системы, содержащую в себе фейковые номера крупной компании. Он постоянно оплачивает ее, чтобы объявление располагалось в поисковике как можно выше. Если бы пользователь увидел эту рекламу, то сразу бы догадался, что это мошенничество, но искусственный интеллект пока не обладает такими способностями и отдает предпочтение тому результату, который имеет доминирующую позицию в поиске.

В результате голосовой ассистент набирает номер мошенников, а пользователь даже не подозревает, что разговаривает не с менеджером компании, а с преступником.

Избежать угрозы можно проверкой телефонного номера перед набором, руководствуясь информацией с официальных сайтов. Кроме того, можно сохранить телефон нужного вам банка в контактах и просить ассистента набрать номер из телефонной книги.

Наиболее радикальным способом станет отказ от помощи искусственного интеллекта при совершении звонка и набор телефона самостоятельно.

Как рассказал «Газете.Ru» ведущий аналитик Infosecurity a Softline company Александр Вураско, мошенники нередко размещают фейковые рекламные объявления от имени каких-либо компаний, а то и вовсе создают сайты-двойники организаций, меняя на них лишь контактную информацию и номера банковских счетов.

«В случае использования голосовых помощников проблема заключается в том, что вы не можете объективно проверить информацию, например, уточнить, является ли сайт, с которого голосовой помощник взял тот или иной номер, официальным. То есть вы заведомо доверяете выбору вашего мобильного устройства, а этот выбор вполне может быть ошибочным. К тому же мошенники давно освоили поисковую оптимизацию и умеют продвигать свои ресурсы по требуемым ключевым словам», — заявил эксперт.

Голосовой помощник — это не полноценный искусственный интеллект, а всего лишь программа, поэтому алгоритмы в ней несовершенны, рассказывает эксперт лаборатории практического анализа защищенности компании «Инфосистемы Джет» Георгий Старостин.

Когда голосовой ассистент получает запрос от пользователя, в своем действии он ориентируется на заложенные алгоритмы, собственную базу знаний и поисковые запросы, а ответы поисковых систем могут содержать ошибки и неверную информацию.

«Также стоит помнить, что через голосовые помощники могут быть реализованы другие векторы атак, ведь большинство таких устройств еще недостаточно хорошо распознают голос владельца. Например, злоумышленник, завладев вашим телефоном, может совершить звонок с заблокированного телефона в банк от вашего имени, просто попросив об этом вашего голосового помощника», — предупреждает Старостин.

Программы пишут люди, которые не застрахованы от ошибок, и хакеры и другие мошенники активно используют это в своей работе, говорит «Газете.Ru» технический директор ООО «ТСС» Илья Шарапов. Голосовые помощники, как и другие технологичные устройства, уязвимы: так, в мае 2018 года исследователи выяснили, что популярные голосовые помощники в смартфонах уязвимы для скрытых аудио-атак, спрятанных в музыке или видео на YouTube, а использование Siri позволяет взломать iPhone жертвы.

«Можно предположить, что по мере внедрения «интернета вещей» — всех этих умных колонок, смышленых холодильников, толковых кофеварок, головастых чайников, сметливых пылесосов, о которых так много говорят и которые так активно рекламируют — количество уязвимостей и, как следствие, хакерских взломов будет стремительно расти.

К 2020 году в мире будет уже более 30 млрд устройств, подключенных к сети.

Не секрет, что производители гаджетов экономят на комплектующих и всеми силами стремятся минимизировать издержки. В результате на выходе мы имеем «дырявые» устройства, которые нетрудно взломать даже программистам и инженерам средней руки», — заключает Илья Шарапов.