Браузер сам покупает Apple Watch и сливает ваши пароли. А вы и дальше доверяйте ИИ

PromptFix ИИ Guardio Labs ClickFix CAPTCHA
Браузер сам покупает Apple Watch и сливает ваши пароли. А вы и дальше доверяйте ИИ
PromptFix ИИ Guardio Labs ClickFix CAPTCHA

Поддельные магазины, автозаполнение карт и ни одного подозрения.

image

Специалисты Guardio Labs представили новый приём обмана искусственного интеллекта под названием PromptFix. Метод построен на встраивании вредоносной инструкции в поддельную CAPTCHA на веб-странице. Когда браузеры с поддержкой автономного ИИ (например, Perplexity Comet) сталкиваются с таким элементом, они автоматически выполняют действия, которых от них добивается злоумышленник, — например, заходят на фишинговые сайты или совершают покупки на поддельных онлайн-витринах без ведома владельца устройства.

Guardio называет эту угрозу «ИИ-эпохой ClickFix» и подчёркивает, что подход отличается от прежних методов. Вместо попыток «сломать» модель исследователи применяют поведенческое давление, аналогичное человеческой социальной инженерии, апеллируя к заложенной цели — помогать человеку быстро и максимально полно. В результате появляется явление, которое в компании окрестили Scamlexity — сочетание слов «scam» и «complexity», означающее новую реальность, где автономные агенты сами становятся инструментами мошенничества.

Проверка показала, что Comet в ряде случаев сам добавлял товар в корзину, подставлял сохранённые адрес и данные карт, оформляя заказ на поддельных ресурсах. Иногда он запрашивал вмешательство пользователя, но нередко доводил процесс до конца полностью самостоятельно. Более того, оказалось, что поручение «проверить электронную почту на наличие задач» приводило к тому, что ИИ открывал письма-спам якобы от банков, переходил по ссылкам и вводил логины и пароли на фальшивых страницах, фактически подтверждая подлинность обманного ресурса. Пользователь в таких сценариях даже не видел подозрительного отправителя и не имел возможности заметить подмену домена.

Пример автозаполнения платежных данных для покупки в онлайн-магазине (Guardio Labs)

PromptFix также позволяет скрывать инструкции в невидимых для человека элементах страницы. Браузер на их основе щёлкает по «кнопкам», обходит проверки CAPTCHA и скачивает вредоносные файлы, совершая полноценную drive-by атаку. Guardio отмечает, что при тестах метод работал не только с Comet, но и с агентным режимом ChatGPT. В последнем случае загруженные файлы оказывались внутри изолированной среды, что снижает риск, но не устраняет его полностью.

Скрытые инструкции для ИИ-агента в CAPTCHA (Guardio Labs)

Специалисты подчёркивают необходимость систем защиты, которые будут предугадывать подобные сценарии, а не только реагировать постфактум. Речь идёт о многоуровневых барьерах — проверке репутации URL, выявлении фишинга, обнаружении поддельных доменов и анализе загружаемых файлов. Это особенно важно на фоне того, что киберпреступники уже активно используют генеративные инструменты для создания фишингового контента, копирования брендов и массового развертывания поддельных сайтов через low-code платформы.

Отдельное внимание исследователи уделили ИИ-сервису Lovable , который ранее оказался уязвимым к методике VibeScamming . На его основе фиксировались случаи распространения фишинговых наборов, вредоносных загрузчиков и криптодрейнеров. В некоторых случаях жертвы попадали сначала на страницу с CAPTCHA, а после перенаправлялись на сайт с поддельным брендингом Microsoft или логистических компаний. Там у них выманивали личные данные и платёжные реквизиты либо подсовывали трояны, такие как zgRAT. URL-адреса Lovable также применялись в инвестиционных мошеннических схемах, что заметно снизило порог входа для злоумышленников. Компания впоследствии удалила злоупотреблявшие сайты и внедрила защитные механизмы.

Параллельно фиксируются кампании с использованием дипфейков в YouTube и соцсетях для продвижения поддельных инвестиционных площадок. Потенциальным жертвам предлагают вложить от 100 до 250 долларов для активации «счёта», а затем требуют пройти верификацию личности и предоставить данные платёжных систем. Такие операции выявлялись в Индии, Германии, Франции, Великобритании, Японии, Турции и других странах. При этом сайты блокируют доступ пользователям из США и Израиля.

Эксперты Group-IB и CrowdStrike подчёркивают, что генеративные модели усиливают работу атакующих, позволяя автоматизировать социальную инженерию и увеличивать масштаб кампаний. По мере того как подобные инструменты становятся более простыми и доступными, злоупотребления будут только расти.