Egy magas kockázatú, pénzügyi szolgáltatásokat és közigazgatási rendszereket célzó, mesterséges intelligenciával támogatott személyazonosság-lopási műveletet azonosítottak 2026. június 10-én. Az elemzések alapján egy szervezett kiberbűnözői csoport egy nagyméretű, összehangolt adathalász infrastruktúrát épített ki. A jelentések szerint a támadók mintegy 453 200 francia nyugdíjas személyes adatait és banki információit célozták meg vagy kompromittálták.

Az állami nyugdíjbiztosítási rendszer, a társadalombiztosítási adatbázisok, valamint a nyugdíjkezelő alapok kiemelt célpontnak számítanak az automatizált kiberbűnözői csoportok számára, mivel ezen adatállományok összekapcsolják az állampolgárok személyes adatait, például a nevét és lakcímét a bankszámla információkkal, valamint az adóazonosítókkal. Az idősebb korosztály gyakran kevésbé ismeri a mai böngészők biztonsági figyelmeztetéseit és a felhasználói munkamenet kompromittálódására utaló jeleket, ezért a támadók különösen vonzó célpontként tekintenek rájuk.

A kampány egyik meghatározó jellemzője a mesterséges intelligenciával támogatott social engineering technikák széles körű alkalmazása. A hagyományos, tömegesen kiküldött és könnyen felismerhető adathalász üzenetek helyett a támadók nagy nyelvi modelleket (LLM) használnak személyre szabott, a helyi környezethez igazított megtévesztő üzenetek előállítására. Az MI-modellek a francia Gazdasági és Pénzügyminisztérium valós dokumentumait elemzik, majd azok stílusát utánzó, nyelvileg kifogástalan, hivatalos hangvételű üzeneteket hoznak létre. Ezek az üzenetek megtévesztően hitelesnek tűnnek, így jelentősen növelik annak a valószínűségét, hogy a címzettek a beágyazott hivatkozásokra kattintanak.

A kampány forenzikus elemzése egy összetett, többlépcsős támadási láncot azonosított, amely a hagyományos védelmi mechanizmusok megkerülésére irányult.

1. MI által generált, hivatalosnak tűnő üzenetek

A támadók automatizált eszközökkel, kiszivárgott nyilvántartásokból és adatbázisokból gyűjtik össze a célpontok személyes adatait. A generatív MI ezek alapján személyre szabott e-maileket és SMS-üzeneteket (smishing) hoz létre, amelyek valós regionális adatokat és nyugdíjrendszeri változásokra utaló, hitelesnek tűnő információkat tartalmaznak. Az üzenetek a nyugdíjkifizetések felfüggesztésének vagy kötelező ellenőrzési eljárásnak a kilátásba helyezésével próbálják rávenni a címzetteket a beágyazott hivatkozások megnyitására.

2. Adversary-in-the-Middle (AiTM) fordított proxy alapú támadás

A hivatkozásra kattintó felhasználók nem egy egyszerű hamis bejelentkezési felületre kerülnek, hanem egy olyan megtévesztő web alapú infrastruktúrába, amely fejlett Adversary-in-the-Middle (AiTM) fordított proxytechnikát alkalmaz. A folyamat során, amikor az áldozat megadja a banki bejelentkezési adatait, a köztes szerver valós időben továbbítja a hitelesítési kérést az eredeti nyugdíj- vagy banki rendszer felé. Ezzel párhuzamosan a támadók megszerzik az aktív munkamenethez tartozó azonosítókat, a hitelesítési sütiket és a mobil alapú jóváhagyási adatokat, amelyek segítségével a felhasználó jogosultságaival férhetnek hozzá a rendszerhez.

3. Telefonos csalás (vishing)

Amennyiben az automatizált támadási folyamatot banki csalásmegelőző rendszerek vagy további hitelesítési lépések akadályozzák, a művelet emberi közreműködéssel folytatódik. A támadók felhasználják a korábban megszerzett adatokat, majd ezt követően franciául beszélő csalók telefonon veszik fel a kapcsolatot az áldozatokkal. A hívók csalásmegelőzési munkatársnak vagy a pénzintézet biztonsági szakértőjének adják ki magukat, és személyes adatokra hivatkozva igyekeznek megtéveszteni és bizalmat kelteni az áldozatokban. Ezt követően az áldozatokat jogosulatlan pénzügyi tranzakciók jóváhagyására vagy távoli hozzáférést biztosító alkalmazások telepítésére veszik rá, amelyek segítségével hozzáférhetnek a megtakarításaikhoz.