AI生成式釣魚新變種！駭客偽造政府官網 透過搜尋引擎詐騙民眾個資

駭客組織利用「DeepSite AI」與「BlackBox AI」等AI平台，開發出仿冒的巴西交通部、教育部等官方網站，透過搜尋引擎優化（SEO）的「SEO中毒」策略，提升假網站排名來誘使民眾點擊。記者孫敬／編譯

資安公司Zscaler最新調查發現，已有駭客組織利用「DeepSite AI」與「BlackBox AI」等AI平台，開發出仿冒的巴西交通部、教育部等官方網站，透過搜尋引擎優化（SEO）的「SEO中毒」策略，提升假網站排名來誘使民眾點擊，進而竊取民眾個資與金錢，這也顯示網路釣魚攻擊已從傳統模式，轉向更精密的自動化複製技術。

延伸閱讀：ClickTok鎖定TikTok Shop用戶 逾萬惡意網域竊取個資與加密貨幣

[caption id="attachment_149364" align="aligncenter" width="1200"]

駭客還會優化SEO誘使民眾點擊假冒的政府機網站。（圖／科技島圖庫）[/caption]

搜尋引擎中毒助長詐騙，個資與金錢雙重損失

駭客組織藉由SEO誤導民眾點擊的手法，主要針對具有公信力的政府部門，假冒的交通部網站主要蒐集民眾辦理駕照相關業務的數據；教育部求職網站則是收集求職者資訊。駭客會先要求受害者提供巴西的個人稅號（CPF），再逐步蒐集更多個人資訊，藉此建立信任感，每起駭客組織的詐騙金額為87.40黑奧（約新台幣477元），並透過巴西的即時支付系統Pix完成轉帳。

資安公司Zscaler的研究人員透過分析可疑網站的原始碼，發現這些AI生成的釣魚網站與傳統手法有顯著差異。首先，其程式碼大量使用了TailwindCSS和FontAwesome函式庫來進行樣式設計，這與常見的釣魚網站架構不同。

其次，研究人員發現程式碼中存在許多「指引性」的註解，這種冗餘的註解通常出現在開發階段，而非實際部署的產品中，明顯帶有AI生成的痕跡，且這些釣魚網站還具備精密的後端驗證機制，能自動驗證受害者提交的個人稅號並顯示相關細節，讓網站看起來更為可信，這也暗示駭客可能已掌握來自其他資料外洩或被駭的API數據。

資料來源：Cyber Security News

這篇文章 AI生成式釣魚新變種！駭客偽造政府官網 透過搜尋引擎詐騙民眾個資 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。