הצ'אט מציע לקנות דרך אתרים לא מוכרים? זאת יכולה להיות הונאה

התרגלנו לחפש מוצרים שונים, בגדים, נעליים או מוצרי אלקטרוניקה דרך הצ'אטים. אנחנו נכנסים לצ'אט, מקלידים את בקשת החיפוש המבוקשת ותוך שניות מקבלים המלצות, מחירים וקישורים שנראים אמינים לחלוטין. לחיצת כפתור נוספת תביא אותנו לאתר שנראה מקצועי, בשלב זה נזמין את המוצר ונשלם עליו (עד שנשתמש כבר בסוכני AI מלאים שיעשו את הפעולה עבורנו). אלא שבמקרה הזה, המוצר לא יגיע ופרטי כרטיס האשראי שלנו כבר נמצאים בידי נוכלים.

מחקר חדש של חברת Ask Silver, המתמחה בזיהוי הונאות ברשת, שפורסם השבוע בהגרדיאן, מצביע על תופעה מדאיגה: אתרי הונאה משוכפלים מצליחים להופיע גם בתוצאות שמייצרים כלי בינה מלאכותית כמו ChatGPT. מדובר באתרים שנבנים כך שייראו כמעט זהים לאתרי קניות אמיתיים, כולל לוגואים, תמונות מוצרים, מחירים ומבצעים אטרקטיביים במיוחד. לפי החוקרים, בחלק מהמקרים האתרים המזויפים מנצלים שינויים שחלו במותגים מוכרים.

התחקיר של אסק סילבר שאל את הבוט שאלה כללית: "אילו ארנקים ותיקים של ראסל אנד ברומלי (מותג תיקים) הם פופולריים?". התוצאות כללו פרטים ומחירים של תיקים שונים, מגמות ואיזה תיק מתאים לאיזה אירוע. בין המקורות לתשובה היו שני אתרים מזויפים של המותג. האתרים האלה נראו אמינים. במקרה אחד, הוצעו "הנחות" ענק – עד 80 אחוזים – על תיקים. במציאות, סביר להניח שאם תקנו משהו, הנוכלים יברחו עם הכסף.

החשש הגדול יותר הוא שהנוכלים אינם מסתפקים בקידום האתרים במנועי חיפוש רגילים, אלא מנסים להשפיע גם על מקורות המידע שעליהם מסתמכות מערכות בינה מלאכותית. מומחי סייבר מכנים זאת לעתים "הרעלת מידע", מצב שבו מידע מטעה או זדוני מוחדר למקורות שעליהם מתבססים מודלים של בינה מלאכותית.

המשמעות היא שגם כאשר משתמש מקבל המלצה מכלי AI מתקדם, אין בכך ערובה לכך שהאתר שאליו הוא מופנה הוא אכן האתר הרשמי של המותג. למעשה, ככל שיותר צרכנים מסתמכים על בינה מלאכותית לצורך קבלת המלצות, כך גדל גם התמריץ של עבריינים דיגיטליים לנסות ולהטות את התוצאות לטובתם.

לא בכדי, מומחי אבטחה ורשויות הגנת הצרכן מדגישים כי אסור להתייחס להמלצות של כלי AI כאל חותמת אמינות. כמו שאנחנו בודקים את כתובת האתר שהגיעה בהודעת סמס ונזהרים מקישורים ממומנים בגוגל, כך יש לבדוק גם קישורים שאליהם מפנה הבינה המלאכותית.

ד"ר מייק ארליכסון, מומחה בינה מלאכותית, אומר ל-mako שזו רק ההתחלה וכי אנחנו כבר בעיצומה של המלחמה בין ההאקרים לצרכנים על גבי הצ'אטים. לדבריו, "ההאקרים גילו שצ'אטבוטים הם 'נשק' מושלם: הם נשמעים אנושיים, סבלניים, ומדברים בשפה רהוטה בלי שגיאות כתיב (מה שפעם הסגיר ניסיונות פישינג). חברות ה-AI מנסות כל הזמן לחסום פרצות ולמנוע מהמודלים שלהן לייצר תכנים זדוניים, אבל ההאקרים תמיד מחפשים דרכים לעקוף את ההגנות האלה. זה משחק חתול ועכבר שלא הולך להיגמר בקרוב".

ועדיין, אפשר לזהות פייקים כאלה למרות שזה נהיה קשה מאי-פעם, אך עדיין אפשרי. לדברי ארליכסון, "הסימנים המסורתיים (כמו אנגלית קלוקלת) נעלמים, ולכן צריך לחפש סימנים אחרים כמו דחיפות מוגזמת, כשהצ'אט לוחץ עליך לקנות עכשיו או לשלם מיד כי 'המלאי אוטוטו נגמר', בקשות תשלום מוזרות או הפניה לקישורי תשלום חיצוניים עם העברות כספים בביטקוין או כרטיסי מתנה וכמובן, מעורר החשד המיידי - הנחות ענק בשיעורים גבוהים במיוחד כמו 70-80% על מוצרים מבוקשים".

התופעה של אתרים מזויפים רווחת מאוד גם בישראל, ממותגי אופנה, דרך בנק לאומי ועד כביש 6, ולרוב תמצאו קישורים ומודעות לאתרים המזויפים בפוסטים, גם ממומנים, בפייסבוק או אינסטגרם, הודעות סמס, הודעות שמועברות בוואטסאפ, טלגרם ועוד. ארליכסון אומר כי לא נתקל עדיין בישראל באתרים מזויפים שהופיעו במנועי ה-AI, אולם ברור כי גם לשם הם עלולים להתגלגל.

ארליכסון מציע כמה טיפים לבדיקה, שצריכים תמיד לשרת אותנו כשאנחנו לוחצים על לינקים - ולא משנה מי מציע לנו אותם - גוגל, צ'אטבוט או הודעה:

• כדאי לבדוק את כתובת האתר (URL): לא משנה כמה הצ'אט משכנע, תמיד להסתכל על שורת הכתובת בדפדפן. האם זה באמת האתר הרשמי או העתק זול (למשל amaz0n במקום amazon)?
• לצאת ולהיכנס מחדש.
• קיבלתם לינק שנראה מפוקפק בצ'אט? אל תלחצו עליו. סגרו את החלון, כנסו לאתר הרשמי של החברה דרך גוגל או האפליקציה הרשמית שלה בחנות האפליציות, ותבדקו שם אם המבצע או השירות באמת קיימים.
• קחו הכל בעירבון מוגבל - אם זה נראה קל מדי או טוב מדי, כנראה שמישהו מנסה לעבוד עליכם. חשדו במבצעים חריגים שמציעים הנחות של עשרות אחוזים על מוצרים מבוקשים. סימן אזהרה נוסף הוא דרישה לתשלום באמצעות העברה בנקאית בלבד.
• שימו לב אם יש מספר טלפון בחנות האינטרנטית, ונסו להתקשר. באתרים מזויפים פעמים רבות הטלפון פשוט מנותק.

"בינה מלאכותית יכולה לסייע לצרכנים לקבל מידע מהר יותר, אך האחריות לבדוק את אמינות האתר עדיין נשארת בידי המשתמש", מסכם ארליכסון.