详细内容或原文请订阅后点击阅览
Meta 的 AI 支持机器人很高兴地将 Instagram 帐户交给了黑客
黑客通过更改恢复电子邮件地址说服人工智能支持机器人交出 Instagram 帐户。
来源:Malwarebytes Labs 博客客户服务聊天机器人只有一项工作:在不打扰人类的情况下满足用户的要求。 Meta 的新人工智能支持助理对这份简报有点过于认真了。在过去的几个月里,攻击者一直在打开支持聊天,告诉机器人他们被锁定在不属于他们的 Instagram 帐户之外,然后就拿走了钥匙。
上周末,奥巴马白宫(现已处于休眠状态)、美容零售商丝芙兰和一名美国太空部队高级官员的 Instagram 账户被接管并被亲伊朗图像短暂污损后,Meta 推出了紧急补丁。安全研究员、Meta 前员工 Jane Manchun Wong 也受到了打击。
这个技巧是如何发挥作用的
攻击很简单。攻击者找出了帐户所有者的居住地(网上有帐户所有者的家乡城市列表,或者他们可以只研究目标)。然后他们使用 VPN 来匹配目标帐户的地理区域,从而避免了 Instagram 安全系统的举报。
然后他们开始正常的密码重置并打开支持聊天。他们要求人工智能机器人提供支持以更改帐户上的电子邮件地址,而它确实做到了这一点,将一次性代码直接发送到攻击者的收件箱。
为此,聊天机器人似乎已连接到 Meta 的帐户管理系统,并有权进行帐户更改,但没有被教导如何验证它是否正在与真正的帐户所有者交谈。安全人员有一个名字:“困惑的副手”。该术语自 20 世纪 80 年代以来就已存在。
公平地说,即使触发了增强的安全性,攻击者也成功了。他们显然会使用从(你猜对了)Instagram 获取的图像来制作目标的深度伪造视频。
Meta 一直在裁员并向人工智能投入资金,并于今年早些时候推出了人工智能支持助手,以帮助处理帐户恢复和其他支持请求。