Раньше такие схемы строили на поддельных сайтах с сомнительным адресом и грубой версткой. Теперь злоумышленники все чаще прячут приманку внутри легитимных сервисов — и это заметно повышает доверие жертвы.
История инцидента
Исследователи из Push Security заметили кампанию, которую они назвали LLMShare. Злоумышленники покупали рекламу в поиске и вели людей, ищущих ChatGPT, на сгенерированную страницу внутри chatgpt.com с подозрительным сообщением о сбое.
На экране пользователь видел уведомление в духе «сервис перегружен» и предложение скачать настольное приложение. На деле это была не страница OpenAI, а HTML-контент, показанный через функцию совместного доступа к чатам.
Дальше схема переходила на отдельный сайт, который маскировался под портал загрузки приложения. По данным исследователей, там показывали разный контент в зависимости от того, кто открывал ссылку, чтобы скрыться от проверок.
Подобные атаки уже встречались и раньше. Фальшивые сайты и рекламные приманки для пользователей давно стали рабочим инструментом мошенников, но теперь они научились использовать доверие к крупным платформам как прикрытие.
Что пошло не так в защите
Главная проблема не в самой рекламе и даже не в поддельной странице как таковой. Уязвимость лежит в доверии к домену и интерфейсу: человек видит знакомый сервис, значит, рефлексивно снижает уровень осторожности.
Отдельный риск — визуальная легитимность. Если страница открывается на настоящем домене, многие перестают смотреть на детали и готовы скачать файл без проверки. Именно на это и рассчитывают атакующие.
Исследователи отдельно отметили, что похожий прием уже использовали и с другими ИИ-платформами. Схемы с подменой инструкций и ложными загрузками работают потому, что жертва делает лишний шаг сама — по собственной инициативе нажимает на кнопку или запускает файл.
Уроки для читателя
Первый вывод простой: адрес в браузере не гарантирует безопасность, если контент внутри страницы подменен. Нужно смотреть не только на домен, но и на смысл того, что вам предлагают.
Второй вывод касается рекламы. Поисковое объявление может вести не на официальный сайт, а на ловушку с похожим оформлением. Это особенно опасно, когда пользователь торопится и ищет «быстрый» способ скачать программу.
Третий вывод — не спешить ставить софт по подсказке из всплывающего сообщения. Если сервис пишет о сбое, лучше открыть его вручную, через закладку или официальный адрес, а не через кнопку в рекламном объявлении.
Для тех, кто часто работает с открытыми сетями в дороге, полезно заранее подготовить устройство: обновить систему, проверить антивирус и включить шифрование трафика через защищенное соединение для поездок и кафе. Это не убирает риск полностью, но снижает шансы на перехват данных в небезопасной сети.
Практические выводы и чек-лист
- Не переходите по рекламным ссылкам, если ищете приложение или вход в сервис.
- Проверяйте, где именно вы находитесь: домен, адрес страницы, странные кнопки и призывы скачать файл.
- Не устанавливайте программу после сообщения о «сбое» без отдельной проверки официального сайта.
- Не запускайте архивы и установщики, если их прислали через сомнительную страницу или вложили в рекламу.
- Обновляйте браузер, систему и защитное ПО — старые версии хуже ловят подмены и вредоносные загрузки.
- Если сайт внезапно просит скачать «десктопную версию», закройте вкладку и найдите официальный канал входа вручную.
- Для работы вне дома заранее проверьте настройки приватности на ноутбуке и телефоне, особенно перед поездкой.
- Сообщайте администратору или службе безопасности, если заметили подозрительную рекламу или страницу, похожую на легитимный сервис.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.