Фантомные домены: как ИИ сам приводит пользователей на сайты мошенников?

Исследовательское подразделение Palo Alto Networks — Unit 42 — зафиксировало и описало новую технику кибератак, получившую название Phantom Squatting. Схема проста по своей логике, но опасна именно потому, что не требует фишинговых писем, вредоносной рекламы или взлома чужих серверов. Злоумышленнику достаточно задать языковой модели тот же вопрос, что задаёт обычный пользователь, — и зарегистрировать домен, который модель выдумала в ответ.
Чтобы понять масштаб проблемы, стоит обратиться к цифрам из исследования Unit 42. Аналитики задали языковым моделям 685 339 вопросов, охватив 913 известных брендов из сфер технологий, финансов, здравоохранения, государственного управления, азартных игр и ряда других отраслей. Модели в совокупности произвели 2,1 миллиона ссылок. Из них 13 229 ссылок оказались откровенно вредоносными, а около 250 000 вели на домены, которые не принадлежат никому. Эти несуществующие адреса и становятся мишенью.
Механика атаки объясняется структурными свойствами больших языковых моделей. Галлюцинации в доменных именах не появляются из-за того, что модель «запомнила» несуществующий сайт во время обучения. Фальшивые адреса генерируются из языковых паттернов — модель конструирует правдоподобный URL по аналогии с теми, что встречались в обучающих данных. Это означает две вещи. Во-первых, проблему нельзя «залатать» простым обновлением модели, поскольку Unit 42 прямо указывает: вектор «эксплуатирует структурное свойство архитектур LLM, которое принципиально не поддаётся устранению». Во-вторых, разные модели нередко выдумывают один и тот же несуществующий домен для одного и того же запроса. Атакующий может предсказывать следующую цель, просто повторяя эксперимент.
Первый конкретный случай, задокументированный Unit 42, разворачивался вокруг онлайн-маркетплейса национальной почтовой службы. 8 марта 2026 года аналитики зафиксировали, что обе тестируемые модели при любых значениях параметра температуры генерировали один и тот же несуществующий домен. 31 марта 2026 года, через 23 дня, этот домен зарегистрировал злоумышленник. На нём развернули фишинговый набор Montana Empire, который в реальном времени копировал оформление настоящего магазина. Жертвы вводили номера банковских карт, реквизиты для переводов и данные удостоверений личности. Оператор набора управлял атакой через Telegram-бота, вручную подтверждая одноразовые коды жертв. Дополнительная деталь из расследования: среди брошенных файлов проекта и логов сессий обнаружились следы того, что сам создатель фишингового набора писал его с помощью ИИ-ассистента. То есть атакующий и защитник пришли к одному поддельному домену одним и тем же способом — спросили у нейросети.
Второй случай выглядит ещё нагляднее с точки зрения временного окна. Unit 42 пометил подозрительный домен за 51 день до того, как злоумышленник его зарегистрировал. Когда домен всё же появился, на нём разместили пиксельно точную копию бренда с фиктивным рейтингом 4,8 звезды и заявлением о более чем двух миллионах пользователей. Загружаемая «апп» оказалась вредоносным Android-приложением. Среди других выявленных в ходе исследования случаев — имитация крупного банка ОАЭ (злоумышленник использовал домен почти год до обнаружения), имитация европейского банка и ряд сайтов для ставок на спорт, нацеленных на пользователей из Бангладеша.
Параллельно с доменами та же проблема касается программных пакетов. Явление получило название Slopsquatting. Исследование USENIX показало, что модели, генерирующие код, регулярно предлагают имена пакетов, которых не существует. Кампания PhantomRaven воспользовалась этим поведением: злоумышленники спрятали вредоносный код в 126 пакетах npm, которые в итоге набрали более 86 000 установок. Логика та же, что и при Phantom Squatting: занять позицию раньше, чем до неё доберётся защитник.
Схемы брендовой имитации уже стали коммерческой услугой. Фишинговые наборы Lucid и Lighthouse в совокупности подняли 17 500 фальшивых доменов, нацеленных на 316 брендов в 74 странах. На этом фоне Phantom Squatting добавляет принципиально новый элемент: сам вывод модели становится её следующим вводом. Разработчики, автономные агенты и аналитики безопасности всё чаще действуют по ссылкам, сгенерированным ИИ, не проверяя их. У нового зарегистрированного домена нет истории репутации — ни блоклисты, ни фиды угроз, ни репутационные счётчики пока ничего не фиксируют.
Для команд безопасности Unit 42 рекомендует систематически выявлять, какие фальшивые домены с наибольшей вероятностью сгенерирует та или иная модель для запросов, связанных с защищаемыми брендами, и следить за регистрациями этих адресов. По данным двух разобранных случаев, такой мониторинг мог бы дать от трёх до семи недель предупреждения. Для рядового пользователя и разработчика практика сводится к трём правилам: не доверять ссылке только потому, что её выдал ИИ; не позволять автоматизированным агентам переходить по модельным ссылкам без промежуточной проверки; рассматривать любой контент, сгенерированный языковой моделью, как черновик, требующий верификации, а не как авторитетный источник.
Unit 42 формулирует ключевой вопрос так: «Кто первым доберётся до этих доменов — защитник или атакующий». Окно открыто, и выигрывает тот, кто действует быстрее.


Новое на сайте

Ссылка