Phantom squatting: halucynowane przez AI domeny stają się nowym narzędziem phishingu i malware - Security Bez Tabu

Phantom squatting: halucynowane przez AI domeny stają się nowym narzędziem phishingu i malware

Cybersecurity news

Wprowadzenie do problemu / definicja

Phantom squatting to nowa technika nadużyć, w której cyberprzestępcy rejestrują domeny wcześniej „wymyślone” przez modele językowe. Problem pojawia się wtedy, gdy system AI podaje użytkownikowi adres internetowy, który brzmi wiarygodnie i pasuje do kontekstu zapytania, ale w rzeczywistości nie istnieje. Jeśli taki adres zostanie przejęty przez atakującego, może posłużyć do phishingu, podszywania się pod markę lub dystrybucji złośliwego oprogramowania.

Z perspektywy bezpieczeństwa to groźne przesunięcie wektora ataku: źródłem ryzyka nie jest już tylko literówka użytkownika czy fałszywa reklama, ale także odpowiedź wygenerowana przez narzędzie AI, które bywa traktowane jako wiarygodny pośrednik między człowiekiem a internetem.

W skrócie

Badacze opisali kampanię, w której wykorzystano domeny halucynowane przez modele AI do działań przestępczych. Analiza dużej liczby zapytań i marek pokazała, że modele regularnie generują nieistniejące adresy URL, z których część była już powiązana ze złośliwą aktywnością, a część pozostawała wolna do rejestracji.

Zaobserwowano także scenariusze, w których domeny przewidziane wcześniej jako potencjalne halucynacje zostały po pewnym czasie rzeczywiście zarejestrowane i użyte do phishingu lub dystrybucji złośliwych aplikacji. To oznacza, że halucynacje AI mogą stać się przewidywalnym i praktycznym elementem łańcucha ataku.

Kontekst / historia

Zjawisko phantom squattingu wpisuje się w szerszy trend nadużyć związanych z generatywną AI. Wcześniej podobny mechanizm obserwowano w świecie pakietów programistycznych, gdzie modele kodujące podpowiadały nieistniejące biblioteki, a napastnicy rejestrowali je i publikowali pod nimi złośliwe komponenty.

Obecnie ten sam schemat przenosi się do przestrzeni DNS i podszywania się pod marki. Celem nie są już wyłącznie programiści, ale także zwykli użytkownicy, operatorzy agentów AI, zespoły SOC oraz firmy automatyzujące procesy przy pomocy modeli językowych. Im częściej odpowiedzi AI są traktowane jako użyteczne i domyślnie wiarygodne, tym większa szansa, że błędnie wygenerowany adres stanie się punktem wejścia do ataku.

Analiza techniczna

Mechanizm phantom squattingu opiera się na kilku właściwościach modeli językowych i samej infrastruktury internetowej. Po pierwsze, modele AI potrafią tworzyć domeny, które semantycznie pasują do pytania użytkownika. Dzieje się tak szczególnie przy zapytaniach o logowanie, bankowość, przesyłki, wsparcie techniczne, serwisy płatnicze czy aplikacje mobilne.

Po drugie, świeżo zarejestrowane domeny początkowo nie mają wyrobionej reputacji. W efekcie klasyczne mechanizmy ochrony oparte na historii domeny, reputacji, blocklistach czy feedach threat intelligence mogą potrzebować czasu, aby oznaczyć je jako podejrzane. Dla atakujących tworzy to cenne okno operacyjne.

Po trzecie, badania wskazują, że modele potrafią generować te same fałszywe domeny w sposób powtarzalny. Ta przewidywalność ma duże znaczenie operacyjne, ponieważ umożliwia identyfikowanie adresów, które z dużym prawdopodobieństwem będą pojawiać się ponownie w odpowiedziach AI. Im częściej dany nieistniejący URL jest generowany, tym bardziej atrakcyjny staje się dla przestępcy.

W opisanych przypadkach wykryto domeny powiązane z usługami finansowymi i pocztowymi, które najpierw zostały zidentyfikowane jako potencjalne halucynacje modeli, a następnie zostały zarejestrowane przez atakujących. Jedna z kampanii wykorzystywała zestaw phishingowy odtwarzający wygląd legalnego serwisu i służyła do zbierania danych kart płatniczych oraz informacji użytkowników. W innym przypadku domena posłużyła do dystrybucji złośliwej aplikacji na Androida podszywającej się pod legalne rozwiązanie.

Warto też zwrócić uwagę na kolejny poziom automatyzacji: część artefaktów sugerowała, że infrastruktura lub kod phishingowego zestawu mogły zostać przygotowane z wykorzystaniem asystenta AI. Oznacza to, że sztuczna inteligencja może uczestniczyć niemal w całym cyklu nadużycia — od wygenerowania fałszywego adresu po przygotowanie samej kampanii.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem phantom squattingu jest przeniesienie zaufania z oficjalnej marki i świadomego działania użytkownika na odpowiedź modelu AI. Jeśli chatbot, wyszukiwarka oparta na LLM lub agent podaje konkretny adres, wiele osób może uznać go za zweryfikowany, mimo że jest to jedynie wynik probabilistycznego generowania tekstu.

Dla organizacji oznacza to kilka klas ryzyka:

  • kradzież danych uwierzytelniających i informacji finansowych,
  • dystrybucję malware przez strony podszywające się pod legalne usługi,
  • kompromitację agentów AI zdolnych do automatycznego otwierania linków lub pobierania plików,
  • ominięcie tradycyjnych zabezpieczeń reputacyjnych dzięki wykorzystaniu nowych domen,
  • wzrost skali brand impersonation i utratę zaufania do kanałów cyfrowych firmy.

Szczególnie zagrożone są sektory, w których użytkownicy regularnie korzystają z linków do logowania, płatności, dostaw, bankowości elektronicznej czy instalacji aplikacji. W takich scenariuszach jedna błędna odpowiedź AI może uruchomić pełny łańcuch ataku.

Rekomendacje

Organizacje powinny traktować phantom squatting jako realne ryzyko operacyjne związane z wdrażaniem AI. Nie jest to już jedynie problem jakości odpowiedzi, ale zagrożenie dla bezpieczeństwa użytkowników, marki i procesów biznesowych.

  • Weryfikować domeny zwracane przez modele AI przed ich użyciem w procesach biznesowych i komunikacji z klientami.
  • Blokować automatyczne otwieranie, pobieranie i uruchamianie treści pochodzących z linków wygenerowanych przez AI bez dodatkowej walidacji.
  • Monitorować nowe rejestracje domen podobnych do marki, także tych wynikających z przewidywalnych halucynacji modeli.
  • Rozszerzyć działania brand protection o scenariusze wykorzystujące adresy generowane przez AI.
  • Uwzględnić phantom squatting w playbookach SOC, procedurach threat huntingu i regułach detekcji.
  • Szkolić pracowników i użytkowników końcowych, że odpowiedź AI nie jest dowodem autentyczności domeny.
  • Stosować silne metody uwierzytelniania, w tym MFA odporne na phishing tam, gdzie to możliwe.
  • Sprawdzać wiek domeny, reputację, certyfikat oraz zgodność z oficjalnym katalogiem domen organizacji przed logowaniem lub instalacją aplikacji.

W środowiskach korzystających z agentów AI warto wdrożyć dodatkową warstwę kontroli polityk bezpieczeństwa, która oceni domenę docelową względem list dozwolonych, reputacji oraz reguł kontekstowych. To ważny krok w odejściu od modelu, w którym agent bezwarunkowo ufa linkowi zwróconemu przez LLM.

Podsumowanie

Phantom squatting pokazuje, że halucynacje modeli językowych przestały być wyłącznie problemem jakości generowanych odpowiedzi. Stały się pełnoprawnym wektorem ataku, który może wspierać phishing, podszywanie się pod marki i dystrybucję złośliwego oprogramowania.

Z perspektywy obrony kluczowe jest założenie, że każdy adres URL wygenerowany przez AI wymaga niezależnej weryfikacji. Wraz ze wzrostem znaczenia agentów, asystentów i wyszukiwarek opartych na LLM zagrożenie to będzie miało coraz większy wpływ na bezpieczeństwo użytkowników i integralność cyfrowego łańcucha zaufania.

Źródła

  1. Phantom Squatting Uses AI-Hallucinated Domains for Phishing and Malware
  2. Phantom Squatting: How Cybercriminals Exploit AI-Hallucinated Domains
  3. We Have a Package for You! A Comprehensive Analysis of Package Hallucinations by Code Generating LLMs
  4. Phantom Packages, Real Threats: NPM Campaign Leveraging AI Hallucinations
  5. Brand Impersonation and Phishing Kits: Emerging Abuse Patterns in 2026