Sztuczna inteligencja zmienia
narzędzia oszustów. Dzięki modelom generatywnym przestępcy tworzą głosy, teksty
i fałszywe strony szybciej, niż kiedykolwiek. To pozwala im działać na większą skalę
i z większą skutecznością.
Sztuczna inteligencja nie
wymyśliła oszustw. Ułatwiła jednak ich wykonanie. Tradycyjne ataki, takie jak
phishing czy wyłudzenia inwestycyjne, zyskały wiatr w żagle. Zamiast ręcznie
pisać setki wiadomości, oszuści używają generatorów tekstu, które w kilka minut
tworzą dopracowane, spersonalizowane maile. Zamiast podstawiać jedną fałszywą
stronę, mogą natychmiast uruchomić ich dziesiątki z drobnymi wariantami
treści, by ominąć filtry. To nie jest tylko teoria. Raporty z ostatnich lat
pokazują wyraźny wzrost wykorzystania narzędzi AI w tego typu atakach.
Automatyzacja pracy przestępców
ma trzy główne efekty. Po pierwsze zwiększa skalę. Zamiast pojedynczych
kampanii można uruchomić setki wariantów ataku jednocześnie. Po drugie zwiększa
trafność. Modele AI potrafią analizować publiczne profile czy posty w mediach
społecznościowych, by dopasować komunikat do konkretnej ofiary. Po trzecie
poprawia wiarygodność. Generowane głosy i filmy deepfake wyglądają i brzmią
coraz bardziej realistycznie.
Jak oszuści wykorzystują AI krok
po kroku:
- Rozpoznanie celu. Automaty zbierają publiczne
dane. Analiza jest szybka i tania. - Tworzenie treści. Model generatywny pisze
e-maile, SMS-y i opisy stron. Treści można spersonalizować masowo. - Generowanie mediów. Sztuczna inteligencja
potrafi sklonować głos lub wygenerować krótkie wideo z „mową” fałszywego CEO
lub celebryty. - Wdrożenie skali. Skrypty automatycznie wysyłają
wiadomości, uruchamiają landing page i monitorują, które warianty działają
najlepiej. - Pranie i transfer środków. Zyski są szybko
wyprowadzane przez wiele małych kont i usług płatniczych.
AI może się dziś pojawić w każdym
etapie ataku. To nie tylko „lepsze maile”, ale kompletne, zautomatyzowane
łańcuchy oszustwa.
Głosowe i wideo deepfejki – zagrożenie dla banków i klientów
Najbardziej medialny efekt niosą
klony głosu i deepfake wideo. Przestępcy nagrywają rozmowy z ofiarami albo
tworzą fałszywe nagrania twarzy i głosu, które wyglądają jak prawdziwe. W
praktyce oznacza to, że oszust może „zadzwonić” do kierownika z banku lub do
klienta i przekonać go, że rzeczywiście rozmawia z zaufaną osobą. To może
zmienić reguły bezpieczeństwa oparte na weryfikacji głosowej lub prostych
potwierdzeniach telefonicznych. Jak podaje CSIRT KNF: liczba złośliwych domen i
kampanii podszywających się pod instytucje finansowe rośnie, coraz częściej
pojawiają się nagrania i fałszywe wypowiedzi wykorzystujące AI.
Czy AI czyni oszustów „bardziej
skutecznymi” niż ludzie?
Tak i nie. AI robi dwie rzeczy:
zwiększa efektywność i obniża próg wejścia. Grupy zorganizowane mogą skorzystać
najbardziej, bo mają infrastrukturę i know-how, by skalować działania. Małe
„operacje” stają się także łatwiejsze dla jednego operatora technicznego. To
oznacza wzrost liczby ataków i większe straty ogółem dla rynku. Z drugiej
strony wiele narzędzi AI generuje ślady i powtarzalność, które specjaliści ds.
bezpieczeństwa mogą analizować i blokować. Jednakże tempo rozwoju narzędzi do
wykrywania pozostaje w tyle za kreatywnością atakujących. Raporty branżowe
wskazują, że instytucje często nie nadążają z inwestycjami w detekcję
deepfake’ów i szkolenia personelu.
Konkretny przykład: fałszywe
reklamy i kampanie inwestycyjne
Kilka dni temu zagraniczne media
pisały o grupie przestępców, która wyłudziła miliony dolarów m.in. w Brazylii.
Za pomocą AI stworzyli deepfejki reklam z wizerunkiem znanej modelki, oraz
innych celebrytów, które namawiały do fałszywych inwestycji. Efekt był taki, że
ofiary ufały przekazowi i wpłacały środki. To pokazuje, że AI nie tylko
poprawia techniczną stronę ataku, ale też jego psychologiczną siłę.
Najbardziej narażeni są
użytkownicy starsi, mniej doświadczeni i osoby o ograniczonym dostępie do
rzetelnych informacji. Ofiary, które szukają „szybkich” wiadomości o
inwestycjach lub kończą rozmowę na jednym potwierdzeniu, to łatwy cel. W Polsce raporty sektora pokazują, że ataki
inwestycyjne i phishing związany z finansami, stanowią dużą część wykrywanych
kampanii, a straty potrafią być znaczące.
Co robią instytucje finansowe i regulatorzy?
Banki i ubezpieczyciele inwestują w AI po swojej
stronie, tworząc systemy wykrywające anomalie w płatnościach i modele ocen ryzyka.
Firmy z branży finansowej coraz częściej stosują modele przeciwdziałania
fraudowi, opierające się na uczeniu maszynowym. Regulatorzy i zespoły takie jak
CSIRT KNF monitorują i zgłaszają tysiące złośliwych domen.
AI daje przestępcom nowe
możliwości. Automatyzacja przyspiesza i zwiększa skalę oszustw. Jednocześnie, to
także narzędzie obronne, jeśli instytucje zainwestują w systemy wykrywające
scamy AI i edukację. Dla użytkownika najważniejsze jest, aby zachować zdrowy
sceptycyzm i sprawdzać informacje innymi kanałami. Jak pokazują krajowe i
międzynarodowe raporty, to wyścig zbrojeń między kreatywnością przestępców, a
zdolnością obrony instytucji. To walka technologii z technologią.
0 komentarzy