Google pozywa chińską sieć smishingową za wykorzystanie AI Gemini do kampanii phishingowych - Security Bez Tabu

Google pozywa chińską sieć smishingową za wykorzystanie AI Gemini do kampanii phishingowych

Cybersecurity news

Wprowadzenie do problemu / definicja

Google poinformował o podjęciu działań prawnych przeciwko chińskiej sieci cyberprzestępczej powiązanej z platformą phishing-as-a-service o nazwie Outsider. Sprawa dotyczy kampanii smishingowych, czyli oszustw realizowanych za pośrednictwem wiadomości SMS, w których przestępcy podszywają się pod zaufane marki, aby wyłudzić dane osobowe, loginy, informacje finansowe i numery kart płatniczych.

Szczególnie istotnym elementem tej sprawy jest wykorzystanie narzędzi generatywnej sztucznej inteligencji, w tym Gemini, do przyspieszania tworzenia fałszywych stron internetowych. Taki model działania pokazuje, że AI staje się nie tylko wsparciem dla obrońców, ale również akceleratorem rozwoju zagrożeń.

W skrócie

Według ujawnionych informacji Google skierował pozew przeciwko podmiotom odpowiedzialnym za rozwój i obsługę infrastruktury Outsider. Grupa miała prowadzić szeroko zakrojone kampanie smishingowe wymierzone głównie w użytkowników w Stanach Zjednoczonych, wykorzystując do tego tysiące fałszywych witryn i ponad milion oszukańczych adresów URL.

  • celem kampanii było wyłudzanie danych osobowych i finansowych,
  • operatorzy mieli używać AI do generowania elementów stron phishingowych,
  • infrastruktura działała w modelu abonamentowym jako usługa PhaaS,
  • w działania zaangażowano również operatorów telekomunikacyjnych i organy ścigania.

Kontekst / historia

Model phishing-as-a-service od kilku lat systematycznie obniża próg wejścia do cyberprzestępczości. Zamiast samodzielnie budować zaplecze techniczne, atakujący kupują gotowe usługi obejmujące szablony stron, panele administracyjne, mechanizmy zbierania danych oraz wsparcie w dystrybucji kampanii.

W przypadku Outsidera mowa o bardziej dojrzałym ekosystemie, w którym poszczególne role zostały rozdzielone pomiędzy różne podmioty. Obejmowały one twórców infrastruktury phishingowej, grupy wysyłające masowe wiadomości SMS, brokerów danych oraz podmioty odpowiadające za dalszą monetyzację skradzionych informacji. To pokazuje, że współczesne operacje smishingowe funkcjonują coraz częściej jak komercyjne platformy SaaS, tyle że wykorzystywane do działalności przestępczej.

Analiza techniczna

Kluczową innowacją w tej sprawie było użycie generatywnej AI do szybszego tworzenia stron wyłudzających dane. Z ujawnionych informacji wynika, że operatorzy mieli formułować prompty w sposób przypominający zwykłe prośby o pomoc programistyczną, aby uzyskać kod HTML i CSS imitujący legalne serwisy. Następnie taki kod był wykorzystywany do budowy stron podszywających się pod portale nagród, strony logowania lub komunikaty o problemach z kontem.

Z technicznego punktu widzenia taki mechanizm daje kilka przewag. Po pierwsze, ogranicza potrzebę posiadania zaawansowanych umiejętności programistycznych. Po drugie, pozwala szybko testować różne warianty wizualne i treściowe kampanii. Po trzecie, ułatwia masowe tworzenie unikalnych landing page’y, co utrudnia ich wykrywanie metodami opartymi wyłącznie na statycznych sygnaturach.

Platforma Outsider miała oferować setki gotowych szablonów podszywających się pod rozpoznawalne marki, zbieranie wpisywanych danych w czasie rzeczywistym oraz panel monitorowania skuteczności kampanii. W praktyce oznacza to, że przestępca nie musi samodzielnie budować pełnego zaplecza ataku. Wystarczy wykupić dostęp, przygotować listę potencjalnych ofiar i uruchomić dystrybucję wiadomości SMS.

Prawdopodobny łańcuch ataku wyglądał następująco:

  • przygotowanie lub wygenerowanie strony phishingowej imitującej legalny podmiot,
  • osadzenie formularzy do pozyskiwania danych logowania, danych osobowych i informacji płatniczych,
  • wysłanie wiadomości SMS wywołującej presję czasu, strach lub obietnicę korzyści,
  • przekierowanie ofiary na fałszywą stronę,
  • przechwycenie danych i ich dalsze wykorzystanie lub sprzedaż.

Model abonamentowy dodatkowo wzmacnia skalę zagrożenia, ponieważ upraszcza rekrutację nowych operatorów kampanii i pozwala szybko odtwarzać infrastrukturę po jej częściowym zablokowaniu.

Konsekwencje / ryzyko

Największe ryzyko ponoszą użytkownicy końcowi, którzy otrzymują wiadomości wyglądające na autentyczne i trafiają na profesjonalnie przygotowane strony. Połączenie wiarygodnego SMS-a oraz dopracowanego wizualnie serwisu znacząco zwiększa skuteczność oszustwa.

Dla organizacji problem ma również wymiar reputacyjny i operacyjny. Podszywanie się pod markę osłabia zaufanie klientów, generuje wzrost liczby incydentów zgłaszanych do zespołów bezpieczeństwa i obsługi klienta, a w skrajnych przypadkach może przełożyć się na realne straty finansowe. Kampanie wspierane przez AI są przy tym szybsze do odtworzenia, tańsze i bardziej skalowalne niż tradycyjne operacje phishingowe.

  • niskie koszty wejścia dla nowych cyberprzestępców,
  • łatwe generowanie kolejnych wariantów stron phishingowych,
  • automatyzacja kampanii na dużą skalę,
  • możliwość ukrywania złośliwego celu pod pozornie neutralnymi promptami,
  • rozproszony model współpracy pomiędzy wieloma grupami przestępczymi.

Rekomendacje

Organizacje powinny traktować tę sprawę jako sygnał, że klasyczny phishing ewoluuje w stronę przemysłowych, wysoko zautomatyzowanych usług. Ochrona kanałów mobilnych i reagowanie na nadużycia marki muszą stać się pełnoprawnym elementem strategii bezpieczeństwa.

Rekomendowane działania operacyjne obejmują:

  • monitorowanie domen i stron podszywających się pod markę,
  • rozszerzenie detekcji o kampanie SMS i zgłoszenia użytkowników mobilnych,
  • współpracę z operatorami telekomunikacyjnymi i dostawcami bezpieczeństwa w celu szybkiego blokowania numerów, domen i adresów URL,
  • analizę telemetrii urządzeń mobilnych pod kątem wzorców smishingu,
  • opracowanie procedur takedown dla fałszywych witryn i kont wykorzystywanych do dystrybucji kampanii.

Zespoły bezpieczeństwa powinny dodatkowo:

  • aktualizować playbooki SOC o scenariusze phishingu SMS ze stronami generowanymi dynamicznie,
  • korelować zdarzenia z kanałów takich jak SMS, DNS, HTTP/S, poczta i zgłoszenia użytkowników,
  • stosować ochronę przeglądarkową oraz filtrowanie reputacyjne adresów URL na urządzeniach mobilnych,
  • uwzględniać usługi PhaaS w działaniach threat intelligence,
  • prowadzić ćwiczenia red team i purple team obejmujące smishing oraz podszywanie się pod markę.

Z perspektywy użytkowników kluczowe pozostają podstawowe zasady higieny bezpieczeństwa:

  • nie klikać linków z nieoczekiwanych wiadomości SMS,
  • weryfikować komunikaty o nagrodach, problemach z kontem i pilnych działaniach wyłącznie przez oficjalną aplikację lub ręczne wpisanie adresu serwisu,
  • nie podawać danych płatniczych ani loginów po przejściu z wiadomości tekstowej,
  • korzystać z uwierzytelniania wieloskładnikowego i alertów transakcyjnych,
  • nie zakładać, że profesjonalny wygląd strony oznacza jej legalność.

Podsumowanie

Sprawa Outsider pokazuje, że smishing wszedł w kolejną fazę industrializacji. Połączenie modelu phishing-as-a-service, masowej dystrybucji przez SMS oraz wykorzystania generatywnej AI tworzy środowisko, w którym nawet mniej zaawansowani operatorzy mogą prowadzić skuteczne kampanie na dużą skalę.

Dla branży cyberbezpieczeństwa oznacza to konieczność szybszego wykrywania nadużyć marki, lepszej ochrony kanałów mobilnych oraz uwzględnienia AI jako czynnika znacząco przyspieszającego rozwój zagrożeń. To również wyraźny sygnał, że walka z phishingiem będzie coraz częściej wymagała równoległych działań technicznych, prawnych i operacyjnych.

Źródła

  1. https://thehackernews.com/2026/06/google-sues-chinese-smishing-network.html
  2. https://blog.google/
  3. https://affirmativelitigation.withgoogle.com/
  4. https://www.courtlistener.com/
  5. https://www.fbi.gov/