יועץ אבטחת מידע   |   ינואר 28, 2026

לתשומת לבכם – תוספי ChatGPT גונבים את המידע שלכם

תוספי דפדפן ל־ChatGPT מבטיחים לשדרג לכם את העבודה, אך חלקם הם למעשה "סוסים טרויאניים" שגונבים את זהותכם. איך האיום החדש מתפתח מתחת לרדאר וכיצד תתגוננו?

האמון בדפדפן – נקודת תורפה חדשה

תוספי בינה מלאכותית הופכים לשער כניסה לחשבונות הרגישים שלכם

כדי להבין את האיום, צריך קודם להבין מהם תוספי דפדפן: מדובר בתוכנות קטנות שמתקינים ישירות על הדפדפן (כמו כרום), והן משמשות כ"עוזר אישי" שמוסיף יכולות חדשות לאתרים. במקרה של ChatGPT, התוספים האלו מבטיחים "כלי עזר ליעילות" – למשל כפתור שמתמצת מיילים באופן אוטומטי או סרגל כלים שכותב עבורכם תגובות בתוך הפייסבוק.
מחקר חדש חשף לפחות 16 תוספים כאלו שנועדו לכאורה לשפר את הפרודוקטיביות שלכם, אך בפועל פותחו על ידי פושעי סייבר כדי לגנוב פרטי התחברות. הם לא תוקפים את הבינה המלאכותית עצמה, אלא מנצלים את העובדה שאנחנו סומכים על העזרים האלו ונותנים להם הרשאות לצפות בכל מה שאנחנו עושים בדפדפן.

כך מתבצעת הגניבה

גניבת "מפתחות הכניסה" במקום פריצה ישירה למערכת

במרבית המקרים, התוספים הזדוניים משתילים קוד קטן בתוך אתר ChatGPT. ברגע שאתם מתחברים לחשבון, התוסף מעתיק את "מפתח הכניסה" הדיגיטלי שלכם (שמאפשר לכם להישאר מחוברים מבלי להקיש סיסמה בכל פעם) ושולח אותו להאקרים.
עם המפתח הזה ביד, התוקף יכול להיכנס לחשבון שלכם מכל מקום, לקרוא את היסטוריית השיחות האישית ואף להגיע למידע רגיש באפליקציות עבודה כמו Slack או GitHub. החוקרים מצאו שמדובר במבצע מאורגן: לתוספים יש שמות דומים, תיאורים זהים ועיצובים דומים – כולם נועדו להטעות את המשתמש שמחפש פתרון קל ומהיר לעבודה שלו.

עדיין בקנה מידה קטן – אך לא לאורך זמן

"מספיק דגם אחד מוצלח כדי שהתופעה תהפוך למגיפה"

לפי המחקר, 16 תוספי Chrome זדוניים המתחזים לכלי ChatGPT הורדו יחד כ־900 פעמים בלבד, אך מדובר בשלב מוקדם בקמפיין שעלול להתפשט במהירות. עולם תוספי ה־AI נמצא בצמיחה אדירה, והתוקפים מבינים שזו הדרך המהירה ביותר להגיע ללב המידע הארגוני. ההיסטוריה מלמדת שדי בגרסה אחת שנראית מפתה מספיק – כזו שמבטיחה לחסוך לכם שעות של כתיבה – כדי שאלפי משתמשים יורידו אותה בתוך ימים. במקרה הזה, הזמן הוא גורם קריטי: ככל שנבין את האיום מוקדם יותר, כך נוכל למנוע ממנו להתפשט.

המלצות מאת מומחי אבטחת המידע של IPV Security:

  1. רק ממקורות רשמיים: התקינו תוספים אך ורק מחנויות אפליקציות מוכרות וממפתחים בעלי מוניטין.
  2. שימו לב להרשאות: אם תוסף פשוט מבקש גישה לכל הנתונים שלכם בדפדפן – זו נורת אזהרה.
  3. משמעת ארגונית: אל תתקינו תוספים שלא אושרו על ידי מחלקת המחשוב שלכם.
  4. אימות כפול (MFA): הפעילו תמיד הגנה נוספת לסיסמה (כמו קוד שנשלח לנייד). זה מקשה מאוד על הגנבים.
  5. ערנות עובדים: הדרכה פשוטה יכולה למנוע את הפריצה הבאה. הסבירו לעובדים שגם תוסף קטן הוא דלת פתוחה לפריצה.

לסיכום,

חדשנות ונוחות לא צריכות לבוא על חשבון הביטחון. תוספי הדפדפן ל־ChatGPT הם דוגמה מצוינת לאופן שבו כלי טכנולוגי נהדר יכול להפוך לסיכון משמעותי. האיום כאן הוא לא רק טכני, אלא פסיכולוגי – הוא מנצל את הרצון שלנו להיות יעילים יותר.
ככל שאנו נשענים יותר על בינה מלאכותית, אנחנו חייבים לזכור: כל רכיב שאנו מוסיפים למחשב שלנו הוא חולייה בשרשרת האבטחה. מי שלא יקפיד על זהירות היום, עלול לגלות שהמידע שלו כבר נמצא בידיים הלא נכונות.

למידע נוסף: LayerX: Malicious ChatGPT Chrome extensions are stealing account credentials

מעוניינים להתייעץ עם מומחה, פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 21 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה