【突破盲點】Google AI搜尋建議受操控　黑客借AI推送惡意網站

Google 旗下的人工智能 「搜索生成體驗」，被發現背後的算法有可能被黑客濫用，令到人工智能會首先推薦可將用家引領至惡意內容的詐騙網站，例如虛假的贈品、垃圾訂閱和技術支援詐騙等，令用家身陷詐騙風險之中。

為回應 Microsoft 推出的 Bing 人工智能搜尋服務，去年 Google 急推自家的「搜索生成體驗 」（Search Generative Experience），用家使用 Google 搜尋引擎時，除了會顯示傳統搜尋結果頁面，還會在接近頂部位置插入標明由 AI 推薦的搜尋結果，用家還可借助 AI 繼續搜尋相關引申內容。

不過，外國傳媒 BleepingComputer 便發現，SGE 推薦的網站往往具有相似性，包括會使用 .online 頂級域名（TLD）、相同的 HTML 模版及多重導向技術，有理由相信這些推薦網站是經過黑客精心策劃的 SEO 污染活動而成的現象。

測試發現，如點擊 SGE 搜索結果中的推薦網站，用家會被多重導向，最終會跳轉至一些含有詐騙元素的惡意網站，並試圖引導到訪者授權使用瀏覽器的通知功能，讓黑客能隨時將詐騙內容推送到用家的上網裝置，當中包括技術支援訊息、虛假贈品計劃及其他不良網站的廣告，而在測試過程中，記者便曾收到感染病毒通知，似乎是希望引起到訪者產生恐慌情緒，並依照指示安裝防毒軟件，令黑客可收取銷售佣金。另外，部分惡意網站又會誤導到訪者安裝瀏覽器擴展功能，方便日後黑客能夠騎劫用家的搜尋結果，顯示上述的詐騙內容或賺取廣告費。

由於搜尋結果是由 Google 的 AI 推薦，安全專家擔心會更易讓用家上當。面對 SGE 的算法包含低質量和惡意網站的指控，Google 只回應已積極採取行動攔截惡意網站，但由於黑客經常轉換新方法，所以才會發生這種狀況，回覆令人更擔憂這些算法的可靠性。

如不慎在瀏覽網站時授權使用推送通知，用家可手動取消授權，以 Chrome 瀏覽器為例，可以在設置 > 內容 > 通知的允許發送通知內，取消指定網站的授權即可，而無論使用哪種 AI 搜尋建議，用家亦要保持警剔。

資料來源：https://www.bleepingcomputer.com/news/google/googles-new-ai-search-results-promotes-sites-pushing-malware-scams/

網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》，一系列影片助你自學網絡安全招數，遠離詐騙，安全意識輕鬆 Level Up！立即去片：https://www.wepro180.com/cybersafety/