Рост .ai: киберпреступники (и Ангилья) надеются на прибыль

Учитывая глобальный интерес к искусственному интеллекту (ИИ), неудивительно, что киберпреступники стремятся воспользоваться ажиотажем в СМИ. В 2023 году наблюдался быстрый рост атак на тему искусственного интеллекта после выпуска в конце 2022 года чат-бота ChatGPT на базе большой языковой модели (LLM) (который быстро стал одним из самых быстрорастущих потребительских приложений за всю историю). Один из простых способов тематики веб-сайта, посвященного искусственному интеллекту, — это использовать доменное имя, которое подчеркивает его, как это делает домен .ai.

В этом блоге рассматривается популярность доменов .ai в последние годы и вредоносная активность на них, которую Netcraft обнаружила и пресекла.

О домене верхнего уровня .ai

.ai — это национальный домен верхнего уровня (ccTLD) британской заморской территории Ангилья. Регистрация этого нДВУ началась в 1995 году, но она быстро ускорилась из-за бума искусственного интеллекта и смежных отраслей. Соответствующие сборы поступают в казну правительства Ангильи, которое, согласно сообщению New York Times, заработал $2,9 млн в 2018 году от регистраций .ai.

ccTLD используется многими законными предприятиями, в том числе двумя крупнейшими технологическими компаниями в мире. В 2017 году Google и Meta зарегистрировали google.ai и facebook.ai, которые перенаправляют на сайты, рекламирующие их работы в области ИИ.

С 2013 года количество доменов .ai, используемых веб-серверами, выросло на 12 523% с 913 до 115 245 доменов. Мы также можем наблюдать аналогичный рост количества IP-адресов и активных сайтов: со 165 до 37 041 IP-адресов и с 647 до 112 600 активных сайтов. Мы заметили первую часть этого огромного роста в 2017 году, когда технологическая индустрия и средства массовой информации впервые начали обращать внимание (и сообщать о нем) на потенциал ИИ.

Однако в начале 2023 года мы наблюдали еще больший взрыв роста, в результате чего по состоянию на сентябрь .ai стал 123-м по популярности TLD. Это совпадает с недавним взрывом интереса к генеративным приложениям искусственного интеллекта, таким как ChatGPT и Stable Diffusion, которые вызвали значительную шумиху и внимание среди средств массовой информации, инвесторов и технологической индустрии и даже просочились в социальные сети и поп-культуру. Более того, текст «GPT» в 44 раза чаще встречается в доменах .ai по сравнению со всеми доменами, что подтверждает связь между быстрой революцией в области genAI и резким ростом использования доменов .ai.

Количество URL-адресов в доменах .ai, которые мы заблокировали, также соответствует аналогичной тенденции за последние 10 лет. Количество блоков, которые мы выполнили в 2023 году, скоро превысит показатель 2022 года с большим отрывом, при этом общее количество блоков за 2022 год уже было превышено в сентябре 2023 года. Однако, несмотря на недавний всплеск роста, Netcraft сначала заблокировала файл .ai. домен более 16 лет назад, в июне 2007 года.

Все приведенные выше цифры взяты из Netcraft. Опрос веб-серверанаше сканирование всех доступных для обнаружения сайтов в Интернете, выполняемое ежемесячно с 1995 года.

Вредоносная деятельность с использованием доменов .ai

Мы обнаружили множество типов вредоносного контента, размещенного в доменах .ai. В основном это:

Фишинговые атаки: сайт, который маскируется под авторитетную организацию, чтобы обманом заставить жертву установить вредоносное ПО или раскрыть личные данные (например, учетные данные или банковские реквизиты).

Мошенничество в партнерском маркетинге: ряд мошенничеств, которые заставляют жертв перейти по партнерской ссылке и купить продукт или услугу у несвязанной сторонней компании.

Испорченные сайты: сайты, которые были взломаны с целью изменения их внешнего вида, обычно с сообщением о взятии на себя ответственности.

Мошенничество с инвестициями в криптовалюту: сайты мошенников, которые побуждают жертв инвестировать в фиктивные криптовалютные платформы.

Веб-оболочки: небольшие программы или сценарии, которые можно загрузить на уязвимый сервер, а затем получить к ним доступ из браузера для запуска системных команд из веб-интерфейса, выступая в качестве бэкдора для преступников. Более подробную информацию об этом можно найти в нашем предыдущем блоге. Веб-шеллы: панель управления преступника.

Фишинговые атаки составляют 67% вредоносных URL-адресов, которые мы видим в доменах .ai, а мошеннические опросы составляют еще 11%. Мошенничество с опросами — это разновидность мошенничества с партнерским маркетингом, в ходе которого жертв обманом заставляют думать, что они выиграли приз. После заполнения опроса (результаты часто никуда не отправляются) жертва перенаправляется на целевой сайт, что побуждает ее подписаться на стороннюю услугу, обычно лотерею с очень небольшим шансом выиграть рекламируемый приз. Мы часто видим, как мошеннические партнерские маркетинговые кампании используют домены .ai в качестве перенаправления на другие домены, на которых размещаются мошенничества. Следовательно, эти вредоносные домены .ai используют меньший диапазон IP-адресов, чем другие атаки.

В сентябре 2023 года мы заблокировали 845 URL-адресов на 58 IP-адресах, использующих домены .ai, что является устойчивым ростом по сравнению с предыдущими месяцами и не демонстрирует никаких признаков замедления.

ai: небольшое, но быстро растущее доменное пространство.

Стоит отметить, что домены .ai стоят намного дороже других доменов. Домен .ai стоит около 60 долларов США по сравнению с 10 долларов США за домен .zip или домен .com. Мы подозреваем, что преступники полагают, что подразумеваемая «легитимность» доменов .ai стоит дополнительных затрат, поскольку существует значительная часть специально зарегистрированных сайтов .ai (особенно для мошенничества с инвестициями в криптовалюту).

Шумиха вокруг искусственного интеллекта в последние несколько лет, возможно, объясняет, почему жертвы игнорируют давно устоявшиеся правила «избегать неизвестных ссылок» и вместо этого готовы нажимать на URL-адреса .ai. За последний год было создано множество законных продуктов искусственного интеллекта (в основном на основе новых/общих торговых марок), а это означает, что жертвы привыкли видеть (и нажимать на них) бренды и URL-адреса .ai. Растущая известность доменов, оканчивающихся на .ai, в сочетании с интересом к ИИ, подогреваемым месяцами спекуляций в СМИ, делает нДВУ .ai привлекательным для киберпреступников.

Наше исследование на сегодняшний день показывает, что .ai — это небольшое, но быстро растущее доменное пространство, содержащее множество незарегистрированных доменов, которые могут быть использованы в вредоносных целях. В будущем также существует потенциал использования .ai для фишинговых доменов .au при атаках с использованием опечаток, поскольку буквы «u» и «i» находятся рядом друг с другом на наиболее распространенных раскладках клавиатуры (таких как QWERTY, AZERTY и Дворжак). , хотя мы пока не видим, чтобы это активно эксплуатировалось.

Чем Netcraft может помочь?

Наше положение в эпицентре борьбы с киберпреступностью позволяет нам быстро выявлять, отслеживать и реагировать на новые угрозы, подобные тем, которые указаны в этом посте. Мы продолжаем отслеживать наличие вредоносного контента в домене .ai и других доменах верхнего уровня. Это включает в себя доступ ко всему списку всех зарегистрированных доменов .ai. Мы также сами используем системы на базе искусственного интеллекта, чтобы помочь в обнаружении этих угроз. Расширение браузера Netcraft и мобильные приложения блокировать угрозы .ai, описанные в этом посте, и блокировать новые угрозы по мере их обнаружения.

Netcraft является мировым лидером в области обнаружения, устранения и устранения киберпреступлений и защищает компании в Интернете с 1996 года. Мы помогаем организациям по всему миру (включая 12 из 50 крупнейших банков мира) и ликвидирует около трети фишинговых атак в мире, блокируя более 90 типов атак со скоростью 1 атака каждые 15 секунд. Наши каналы вредоносных сайтов защищают миллиарды людей по всему миру от фишинга, вредоносного ПО и других видов киберпреступности.

Мы предлагаем решения для реестры доменов и регистраторы доменоввключая оповещения в режиме реального времени или удаление мошеннического контента, обнаруженного в вашем TLD или другой инфраструктуре, а также инструмент для анализа вероятности того, что новое доменное имя является вводящим в заблуждение и будет использоваться для мошенничества.