Фантомне сквотінґ — це нова кіберзагроза, де зловмисники використовують відому ваду великих мовних моделей (галюцинації) для пошуку та реєстрації вигаданих доменних імен, які ШІ впевнено генерує, але які не існують у... Атака відбувається у три кроки: виявлення «фантомних» URL адрес шляхом систематичних запитів до м...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is "phantom squatting," how does Palo Alto Networks Unit 42's research show that attackers e. Article summary: ## What Is Phantom Squatting?. Topic tags: general, general web, user generated, academic, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
Фантомне сквотінґ (phantom squatting) — це чіткий трикроковий ланцюжок атаки, який експлуатує те, як великі мовні моделі (LLM) поводяться з невідомою інформацією .
Крок 1: Пошук «фантомів». Зловмисники систематично надсилають запити до ШІ-моделей, щоб виявити ті «фантомні» домени, які модель найчастіше галюцинує для певних брендів . LLM здатні генерувати «ідеально структуровані, надзвичайно переконливі URL-адреси», що вказують на домени, які ніколи раніше не були зареєстровані
.
Крок 2: Реєстрація фантомного домену. Щойно зловмисник ідентифікує вигаданий домен, він купує незареєстроване ім'я за кілька доларів, налаштовує на ньому шкідливу інфраструктуру та чекає .
Крок 3: Експлуатація довіри користувача. Жертва — чи то людина, чи то автономний AI-агент — переходить за згенерованим ШІ посиланням і потрапляє в пастку . На той час, коли традиційна система безпеки позначає домен як шкідливий, шкода вже часто буває завдана
.
Це є значним зрушенням від традиційного кіберсквотінгу. Класичний кіберсквотінг покладається на людські помилки або схожі на оригінал домени, як-от «netflix-payments[.]com» . Фантомне сквотінґ замінює людську помилку на галюцинацію ШІ, перетворюючи власний недолік моделі на вектор атаки
.
Palo Alto Networks публічно не розголошує конкретні назви брендів або доменів, виявлених у кампаніях фантомного сквотінгу, однак задокументовані патерни дають чітке уявлення про загрозу .
Імітація служби підтримки клієнтів. Фантомне сквотінґ може використовуватися для створення фішингових посилань, які імітують легітимні URL-адреси бренду або служби підтримки, згенеровані ШІ-системою . Атака експлуатує той факт, що користувачі можуть більше довіряти посиланню, якщо воно з'явилося від AI-асистента
.
AI-фішинг та сквотінґ. Palo Alto Networks повідомляє про сплеск традиційних методів шкідливого ПЗ та фішингу, які використовують інтерес до ШІ та ChatGPT . Між листопадом 2022 та квітнем 2023 року Unit 42 спостерігав зростання на 910% щомісячних реєстрацій доменів, пов'язаних з ChatGPT, та до 118 щоденних виявлень шкідливих URL-адрес, пов'язаних з ChatGPT
. Мета зловмисників — заманити користувачів ChatGPT на сайти, які виглядають як справжні, але насправді інфікують їх
.
Пов'язана техніка: «Слопсквотінґ» (Slopsquatting). Паралельний різновид атак на ланцюжок постачання — так званий слопсквотінґ — націлений на вигадані ШІ назви програмних пакетів, а не доменів . У цій моделі зловмисники виявляють назви пакетів, які LLM часто рекомендують для виконання завдань з кодування, реєструють ці назви на публічних репозиторіях (наприклад, npm, PyPI або RubyGems) та вбудовують у них шкідливе ПЗ
. Коли розробник звертається до AI-асистента по рішення, той впевнено пропонує фантомний пакет, а розробник, довіряючи авторитетному тону ШІ, встановлює його
. Дослідження 16 моделей показало, що приблизно 19.7% пакетів, рекомендованих інструментами ШІ для кодування, були повністю вигаданими — понад 205 000 назв пакетів-галюцинацій
.
Palo Alto Networks пропонує кілька рівнів захисту для зменшення ризику фантомного сквотінгу:
1. Проактивний моніторинг доменів. Організаціям слід відстежувати підозрілі домени, зареєстровані з метою сквотінгу. Системи на основі LLM можна використовувати і для захисту: дослідження DomainLynx показало, що комплексна AI-система досягла 94.7% точності на наборі даних з 1 649 доменів-сквотів, виявивши 34 359 таких доменів серед 2.09 мільйонів нових за місяць реального тестування .
2. Фільтрація новозареєстрованих доменів (NRD). Advanced DNS Security від Palo Alto Networks містить сигнатуру для новозареєстрованих доменів (UTID 109020001) . Новозареєстровані домени — це ті, які нещодавно додані оператором TLD або змінили власника протягом останніх 32 днів, і багато хто з них використовується для шкідливої діяльності, як-от робота серверів управління (C2) або розповсюдження шкідливого ПЗ
.
3. Захист на рівні DNS. Засоби безпеки DNS можуть перевіряти або блокувати трафік до ризикованих доменів, включаючи NRD, які часто використовуються у фішингу та соціальній інженерії . Advanced URL Filtering (AURL), що працює на основі Precision AI та інлайн-детекторів глибокого навчання в реальному часі, здатний виявляти та блокувати нові невідомі фішингові домени в момент їх появи
.
4. Навчання користувачів та верифікація результатів ШІ. Користувачі повинні з обережністю ставитися до URL-адрес, згенерованих ШІ, та перевіряти важливі результати за допомогою людського контролю, надійних баз даних, API або курованих баз знань . Перехресна перевірка відповідей моделі з авторитетними джерелами є критично важливою для будь-якого використання з високими ставками
.
5. Запобіжники для AI-агентів. Автономні агенти та робочі процеси з використанням ШІ повинні перевіряти згенеровані URL-адреси, назви пакетів та інші зовнішні ресурси через надійні джерела, перш ніж отримувати, встановлювати або використовувати їх . Це особливо важливо для асистентів кодування, де варіант слопсквотінгу становить прямий ризик для конвеєрів розробки
.
Фантомне сквотінґ — це реальна нова загроза, яка перетворює відому ваду ШІ — галюцинацію — на зброю проти користувачів, що довіряють згенерованому ШІ контенту . Атака експлуатує саме ту властивість, яка робить LLM корисними: здатність впевнено генерувати правдоподібний контент, навіть коли базове джерело не існує. Для захисту організаціям потрібен багаторівневий підхід, що поєднує проактивний моніторинг доменів, сувору фільтрацію DNS/NRD, навчання користувачів та запобіжники для AI-агентів, які розглядають будь-які згенеровані ШІ URL-адреси як ненадійні до моменту незалежної перевірки
.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Фантомне сквотінґ — це нова кіберзагроза, де зловмисники використовують відому ваду великих мовних моделей (галюцинації) для пошуку та реєстрації вигаданих доменних імен, які ШІ впевнено генерує, але які не існують у...
Фантомне сквотінґ — це нова кіберзагроза, де зловмисники використовують відому ваду великих мовних моделей (галюцинації) для пошуку та реєстрації вигаданих доменних імен, які ШІ впевнено генерує, але які не існують у... Атака відбувається у три кроки: виявлення «фантомних» URL адрес шляхом систематичних запитів до моделі, реєстрація цих незайнятих доменів за кілька доларів та очікування, поки жертва — людина чи AI агент — перейде за...
Серед основних методів захисту, рекомендованих Palo Alto Networks: проактивний моніторинг доменів, фільтрація новозареєстрованих доменів (NRD), захист на рівні DNS, верифікація результатів ШІ та впровадження запобіжни...