Команда Unit 42i обнаружила новую схему кибератак — phantom squattingi: злоумышленники изучают, какие несуществующие домены чаще всего «придумывают» большие языковые модели, и регистрируют эти адреса на себя для фишинга, распространения троянов и кейлоггеров.
Схема работает, потому что LLM галлюцинируют ссылки не случайно, а по внутренним паттернам — разные модели на одинаковые запросы часто выдумывают один и тот же фейковый URL. Пользователю даже не нужно ошибаться при наборе адреса вручную, как при классическом typosquattingi: несуществующий, но убедительный домен ему подсовывает сама нейросеть.
ВыводUnit 42 прогнала 685 тысяч запросов о 913 известных брендах через LLM и собрала 2,1 миллиона ссылок
685 тысячзапросов прогнано через LLM
2,1 миллионасобранных ссылок
13 тысячуже действующих вредоносных URL