En ny och sofistikerad bedrägerikampanj riktar sig mot Gmail-användare och kan leda till att konton kapas. Både säkerhetsforskare och teknologichefer varnar nu för denna bluff, som använder AI-genererade röster och utger sig för att vara Google-support.
Bedrägeri med AI-röstteknik
Enligt Garry Tan, VD för den teknikfokuserade riskkapitalfirman Ycombinator, har ett ”ganska utstuderat” nätfiske uppmärksammats där bedragare använder AI för att skapa trovärdiga röstsamtal. I ett inlägg på X (tidigare Twitter) den 10 oktober beskrev Tan hur bedragarna låtsas vara från Google Support och använder en falsk, men övertygande, uppringar-ID.
Bedragarna påstår att de undersöker ett felaktigt inlämnat dödsintyg och att en anhörig försöker återställa användarens konto. Syftet är att lura användaren till att godkänna en återställning av sitt lösenord. ”Tryck inte på Ja på denna dialogruta—du kommer att bli utsatt för nätfiske”, varnar Tan.
Ökad sofistikation hos bedragarna
IT-konsulten Sam Mitrovic har också delat med sig av sina erfarenheter av liknande försök till kontokapning. I ett blogginlägg beskriver han hur bedragarna blir allt mer övertygande och använder AI-genererade röster för att imitera Googles support. Mitrovic fick en avisering om att godkänna ett återställningsförsök för sitt Gmail-konto, som han nekade. Kort därefter mottog han ett samtal med en falsk uppringar-ID som visade ”Google Sydney”.
Veckan efter upprepades händelsen med en uppringare från ett australiskt nummer, men med en amerikansk röst som påstod att det förekommit misstänkt aktivitet på hans konto. Uppringaren ställde frågor om Mitrovic befann sig i Tyskland eller var på resande fot, i ett försök att öka trovärdigheten.
Avslöjande detaljer
Mitrovic noterade flera varningssignaler som antydde att det var ett bedrägeri. Bland dessa märktes att återställningsförfrågningarna inte var initierade av honom, att Google normalt inte kontaktar privatpersoner per telefon om de inte har ett företagskonto, och att e-postadressen som användes inte kom från en Google-domän. Vid närmare granskning av e-posthuvudet visade det sig att avsändaradressen var förfalskad.
En viktig insikt från Mitrovics erfarenheter är att bedrägerierna blir allt mer sofistikerade och kan lura många. Trots flera varningssignaler såg hela situationen tillräckligt legitim ut för att potentiellt lura ett stort antal användare.
Råd för att undvika att bli lurad
Mitrovic och Tan påpekar båda vikten av vaksamhet och uppmanar användare att noggrant granska oväntade återställningsförfrågningar och att inte svara på samtal eller e-post från okända källor utan att verifiera deras äkthet. Grundläggande säkerhetsrutiner, som att inte klicka på länkar eller godkänna återställningsförfrågningar från okända avsändare, är fortfarande det bästa försvaret mot dessa typer av attacker.
Google har ännu inte kommenterat dessa varningar, men det står klart att användare bör vara extra försiktiga när det gäller oförutsedda supportmeddelanden och samtal som verkar komma från legitima källor.
0 kommentarer