Falešné výpadky OpenAI a stažení škodlivých aplikací
Bezpečnostní výzkumníci z PushSecurity upozornili na novou kampaň, ve které útočníci zneužívají funkci sdílení konverzací v ChatGPT k šíření malwaru. Vytvářejí falešné stránky napodobující výpadek služeb OpenAI a umisťují je na legitimní adresy chatgpt.com prostřednictvím veřejně sdílených ChatGPT odkazů. Uživatelům se následně zobrazí zpráva tvrdící, že webová verze ChatGPT není dostupná a že si mají stáhnout desktopovou aplikaci. Ve skutečnosti jde o škodlivý software určený ke kompromitaci zařízení.
Kampaň je nebezpečná hlavně tím, že nezneužívá technickou zranitelnost OpenAI, ale důvěru uživatelů v legitimní doménu ChatGPT. Útočníci podle výzkumníků využívali i placenou reklamu ve vyhledávačích, která uživatele přesměrovávala na falešné stránky. Ty následně odkazovaly na podvodný web vydávající se za oficiální distribuční portál OpenAI, odkud si oběť stáhla škodlivý program pro Windows nebo macOS.
Útočníci vytvořili vlastní HTML stránku s využitím funkcí pro vykreslování obsahu v ChatGPT a zveřejnili ji prostřednictvím sdíleného odkazu chatgpt.com/s/, čímž umožnili, aby se falešné oznámení o výpadku zobrazovalo na legitimní adrese URL služby ChatGPT. Součástí kampaně byly i techniky maskování, které měly ztížit detekci bezpečnostními nástroji.
Incident zapadá do rychle rostoucího trendu zneužívání důvěryhodných AI platforem pro phishing, malware a sociální inženýrství. Bezpečnostní firmy upozorňují, že útočníci stále častěji nestaví falešné weby od nuly, ale snaží se zneužít legitimní služby, které uživatelé znají a považují za bezpečné. Podobné kampaně v posledních měsících cílily i na další AI nástroje, vývojářské platformy nebo služby využívané při tzv. vibe codingu.
Případ ukazuje širší změnu v kyberprostoru: útoky se stále více přesouvají od technického prolomení systémů ke zneužívání důvěry, značek a legitimních cloudových služeb. Uživatel už nemusí kliknout na podezřelý odkaz nebo otevřít neznámou přílohu – škodlivý obsah se může objevit přímo na platformě, kterou běžně používá a které důvěřuje.
Nizozemsko rozbilo jeden z největších botnetů posledních let
Nizozemská policie společně s Národním centrem kybernetické bezpečnosti (NCSC) na konci května oznámily rozsáhlou operaci proti masivnímu botnetu, který tvořilo nejméně 17 milionů kompromitovaných zařízení po celém světě. Vyšetřování vedlo k identifikaci a odstavení více než 200 serverů umístěných v Nizozemsku, které sloužily jako řídicí infrastruktura celé sítě.
Botnet tvořily kompromitované počítače, smartphony, tablety, routery, IP kamery a další IoT zařízení. Napadená zařízení byla bez vědomí svých majitelů využívána jako součást rozsáhlé proxy infrastruktury. Útočníci přes ně směrovali vlastní provoz, takže jejich aktivity navenek vypadaly jako běžný internetový provoz legitimních uživatelů. To výrazně komplikovalo detekci útoků i jejich připsání konkrétním pachatelům. Vyšetřovatelé spojují infrastrukturu s proxy službou Asocks, která nabízela přístup k milionům IP adres a desítkám tisíc klientů.
Technicky šlo o kombinaci botnetu a rezidenční proxy sítě. Rezidenční proxy fungují tak, že útočník nebo zákazník služby směruje svůj provoz přes zařízení běžných uživatelů. Z pohledu cílového systému pak komunikace nevypadá jako útok přicházející z podezřelé infrastruktury, ale jako legitimní provoz z domácího internetu. Taková infrastruktura může být následně využita pro phishing, spamové kampaně, distribuci malwaru, obcházení geografických omezení, online podvody, automatizované útoky nebo DDoS operace. Nizozemské úřady uvedly, že kompromitovaná zařízení byla využívána právě k provádění kyberútoků a dalších kriminálních aktivit.
Muž prodával data milionů seniorů
Americké ministerstvo spravedlnosti oznámilo, že 57letý Troy Murray ze Severní Karolíny byl odsouzen k více než deseti letům vězení za prodej osobních údajů více než sedmi milionů starších Američanů organizovaným podvodnickým skupinám, především na Jamajce. Murray, který vystupoval pod přezdívkou „Steve Dixon“, se v lednu 2026 přiznal ke spiknutí za účelem podvodu prostřednictvím elektronické komunikace (wire fraud conspiracy) a soud mu nyní uložil trest 121 měsíců odnětí svobody, tři roky podmíněného dohledu a propadnutí majetku v hodnotě 5,2 milionu dolarů.
Podle soudních dokumentů Murray v letech 2016 až 2023 prodával tzv. lead lists – databáze obsahující jména, telefonní čísla, poštovní adresy a e-mailové adresy seniorů. Tyto seznamy následně využívali podvodníci k provozování známého schématu označovaného jako lottery fraud, při němž jsou oběti přesvědčovány, že vyhrály vysokou finanční částku nebo loterii, avšak před vyplacením údajné výhry musí nejprve uhradit různé poplatky, daně nebo administrativní náklady. Ve skutečnosti žádná výhra neexistuje a peníze končí u pachatelů.
Murray podle obžaloby prodal během sedmi let nejméně 22 000 databází. Za jeden seznam obsahující 100 až 300 jmen běžně inkasoval přibližně 500 dolarů. Obchod byl natolik rozšířený, že se jeho pseudonym stal mezi jamajskými podvodnickými skupinami dobře známým a podle amerických prokurátorů se dokonce objevil i v textu jamajské hudební skladby z roku 2022. Když mu některé služby pro převody peněz zablokovaly účty kvůli podezřelé aktivitě, začal od svých zákazníků přijímat platby prostřednictvím předplacených dárkových karet, což mělo ztížit sledování finančních toků.
Vyšetřování ukázalo, že Murray díky prodeji dat vydělával stovky tisíc dolarů ročně, celkem získal více než 5,2 milionu dolarů. Podvodné kampaně využívající jeho databáze způsobily obětem škody přesahující 9,5 milionu dolarů. Peníze používal k nákupu zemědělské techniky, vozidel a sběratelských předmětů z drahých kovů. Část výnosů zároveň převáděl svému synovi Cutteru Murraymu, který podle amerického ministerstva spravedlnosti přijal a legalizoval přibližně 1,6 milionu dolarů pocházejících z trestné činnosti. Jeho syn se již dříve přiznal k praní špinavých peněz.
FBI varuje před falešnými weby FIFA
Americký Federální úřad pro vyšetřování (FBI) vydal na konci května varování před rozsáhlou vlnou podvodných webových stránek vydávajících se za oficiální stránky FIFA v souvislosti s blížícím se mistrovstvím světa ve fotbale 2026, které budou společně hostit Spojené státy, Kanada a Mexiko. Podle FBI útočníci vytvářejí falešné kopie oficiálních stránek FIFA s cílem získat osobní a finanční údaje návštěvníků, prodávat neexistující vstupenky a VIP balíčky nebo realizovat další podvodné aktivity navázané na největší sportovní událost příštího roku. FBI již identifikovala nejméně 35 podvodných domén, které napodobují oficiální infrastrukturu FIFA.
Útočníci využívají techniku známou jako typosquatting, kdy registrují domény velmi podobné legitimní adrese FIFA. Typicky mění jedno písmeno, přidávají pomlčky nebo používají jinou koncovku domény. Na první pohled vypadají stránky důvěryhodně – obsahují oficiální loga, fotografie stadionů, grafiku turnaje i nabídky vstupenek nebo pohostinských balíčků. Ve skutečnosti jsou však navrženy tak, aby od návštěvníků získaly osobní údaje, údaje o platebních kartách nebo přihlašovací údaje. FBI upozorňuje, že útočníci často cílí na fanoušky hledající vstupenky, ubytování, cestovní balíčky nebo další služby související s turnajem.
Podle bezpečnostních společností nejde o izolovanou kampaň. Výzkumníci ze společnosti Group-IB identifikovali více než 4 300 domén souvisejících s podvody kolem mistrovství světa 2026 a zaznamenali nejméně šest různých typů podvodných schémat a čtyři samostatné skupiny útočníků. Vedle falešných prodejů vstupenek se objevují podvodné obchody s dresy a suvenýry, phishingové kampaně zaměřené na získání platebních údajů, falešné cestovní a vízové služby, podvodné sázkové platformy i kryptoměnové projekty, které se neoprávněně vydávají za oficiální partnery FIFA.
Výzkumníci upozorňují, že letošní kampaně jsou výrazně sofistikovanější než při předchozích světových šampionátech. Útočníci využívají profesionálně zpracované weby, reklamu ve vyhledávačích, sociální sítě a stále častěji také obsah generovaný umělou inteligencí. Díky tomu jsou falešné stránky vizuálně téměř nerozeznatelné od originálů. Některé kampaně navíc využívají falešné soutěže, nabídky exkluzivních vstupenek nebo údajné časově omezené slevy, aby vytvořily tlak na rychlé rozhodnutí oběti.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
