Sztuczna inteligencja przeobraża arsenał oszustów. Za sprawą modeli generatywnych, przestępcy kreują imitacje głosów, teksty oraz podrobione witryny internetowe szybciej niż kiedykolwiek wcześniej. To umożliwia im operowanie na większą skalę i z wyższą efektywnością.
Sztuczna inteligencja nie wymyśliła nadużyć. Natomiast usprawniła ich realizację. Dotychczasowe ataki, takie jak phishing czy oszukańcze inwestycje, zyskały nową siłę. Zamiast manualnego pisania setek wiadomości, naciągacze wykorzystują generatory tekstu, które w kilka chwil tworzą dopracowane, spersonalizowane maile. Zamiast umieszczać jedną fałszywą stronę, mogą momentalnie uruchomić ich dziesiątki z drobnymi zmianami w treści, aby przechytrzyć filtry. To nie jest tylko teoria. Sprawozdania z ostatnich lat uwidaczniają znaczny przyrost wykorzystania narzędzi AI w tego typu atakach.
Automatyzacja pracy przestępców generuje trzy podstawowe efekty. Po pierwsze, powiększa zasięg. Zamiast pojedynczych działań można zainicjować setki wariantów ataku jednocześnie. Po drugie, podnosi celność. Algorytmy AI potrafią analizować ogólnodostępne profile lub wpisy w mediach społecznościowych, by dostosować przekaz do konkretnego adresata. Po trzecie, zwiększa autentyczność. Generowane głosy i filmy deepfake wyglądają i brzmią coraz bardziej wiarygodnie.
W jaki sposób oszuści używają AI krok po kroku:
- Rozpoznanie celu. Automaty zbierają ogólnodostępne dane. Analiza jest szybka i niedroga.
- Kreowanie treści. Model generatywny tworzy e-maile, SMS-y oraz opisy stron. Treści można dostosować masowo.
- Generowanie mediów. Sztuczna inteligencja jest w stanie sklonować głos lub wygenerować krótkie wideo z „mową” podrobionego CEO lub celebryty.
- Wdrażanie skali. Skrypty samoczynnie wysyłają wiadomości, uruchamiają strony docelowe i obserwują, które warianty przynoszą najlepsze rezultaty.
- Pranie i transfer środków. Zyski są szybko transferowane przez liczne małe konta i usługi płatnicze.
AI może się dzisiaj pojawić na każdym etapie procederu. To nie tylko „lepsze maile”, ale pełne, zautomatyzowane ciągi oszustwa.
Głosowe i wideo deepfejki – ryzyko dla banków i klientów
Największy rozgłos niosą repliki głosu i deepfake wideo. Przestępcy rejestrują konwersacje z ofiarami albo kreują zmyślone nagrania twarzy i głosu, które wydają się autentyczne. W praktyce oznacza to, że oszust może „zatelefonować” do menadżera z banku lub do klienta i wmówić mu, że rzeczywiście rozmawia z upoważnioną osobą. To może zmienić reguły bezpieczeństwa bazujące na weryfikacji głosowej lub zwykłych potwierdzeniach telefonicznych. Jak informuje CSIRT KNF: liczba złośliwych domen i kampanii podszywających się pod podmioty finansowe wzrasta, coraz częściej pojawiają się nagrania i fałszywe twierdzenia wykorzystujące AI.
Czy AI czyni oszustów „bardziej efektywnymi” niż ludzie?
Tak i nie. AI realizuje dwie funkcje: podnosi sprawność i redukuje barierę wejścia. Grupy zorganizowane mogą skorzystać najwięcej, bo posiadają infrastrukturę i know-how, by rozszerzać działania. Małe „operacje” stają się także prostsze dla jednego operatora technicznego. To zwiastuje wzrost liczby ataków i większe straty globalnie dla rynku. Z drugiej strony wiele narzędzi AI generuje ślady i powtarzalność, które eksperci ds. bezpieczeństwa mogą analizować i zwalczać. Jednakże tempo rozwoju narzędzi do wykrywania pozostaje w tyle za pomysłowością atakujących. Raporty branżowe wskazują, że instytucje często nie dotrzymują kroku z inwestycjami w identyfikację deepfake’ów i szkolenia pracowników.
Nie można opierać się wyłącznie na technologii
Przestępcy coraz powszechniej wykorzystują sztuczną inteligencję do tworzenia skomplikowanych ataków skierowanych w osoby fizyczne. Generatywne modele, takie jak GPT, pozwalają im przygotowywać idealnie ułożone wiadomości phishingowe i SMS-y, które ciężko odróżnić od prawdziwej korespondencji bankowej lub urzędowej. Dzięki analizie danych osobowych ofiar realne jest dopasowanie treści, co wzmacnia skuteczność manipulacji psychologicznej.
AI umożliwia także kreowanie niesamowicie autentycznych fałszerstw tożsamości i multimediów, tzw. deepfake. Oszuści tworzą filmy, nagrania audio i zdjęcia przedstawiające rzekomo realne osoby – polityków, gwiazdy czy członków rodzin ofiar – i wykorzystują je do szantażów, wyłudzeń lub kampanii dezinformacyjnych, np. nieprawdziwych reklam inwestycyjnych.
Jednym z najniebezpieczniejszych zastosowań AI jest automatyzacja ataków cybernetycznych. Przestępcy wykorzystują sztuczną inteligencję do generowania tysięcy wiadomości phishingowych w różnych językach, obsługi czatów z ofiarami, a nawet dynamicznego modyfikowania złośliwego oprogramowania w celu ominięcia zabezpieczeń. W połączeniu z botnetami pracującymi 24/7 takie ataki stają się niemal autonomiczne. Systemy AI samodzielnie testują i dopasowują strategie, aby podnieść efektywność infiltracji.
Z drugiej strony, ta sama technologia staje się zasadniczym narzędziem w walce z cyberprzestępczością. Banki i instytucje finansowe coraz częściej wykorzystują AI do analizy zachowań użytkowników i wykrywania nietypowych transakcji, co redukuje ryzyko strat. Jednak przewaga przestępców wynika z ich elastyczności i szybkości wdrażania innowacji, podczas gdy systemy obronne są ograniczone regulacjami i procedurami certyfikacyjnymi.
W obliczu narastającej skali zagrożeń nie możemy opierać się wyłącznie na technologii – równie istotne jest kreowanie świadomości użytkowników i ich odporności na manipulację. Tylko mariaż innowacyjnych narzędzi obronnych z edukacją społeczną pozwoli skutecznie zredukować ryzyko płynące z przestępczego wykorzystania AI.
Katarzyna Majewska
Konkretny przykład: fałszywe reklamy i kampanie inwestycyjne
Niedawno zagraniczne media pisały o grupie kryminalistów, która wyłudziła miliony dolarów m.in. w Brazylii. Przy użyciu AI stworzyli deepfejki reklam z podobizną słynnej modelki, a także innych osobistości, które zachęcały do nieuczciwych inwestycji. W konsekwencji ofiary wierzyły przekazowi i wpłacały środki. To pokazuje, że AI nie tylko usprawnia techniczną stronę ataku, ale także jego psychologiczną moc.
Najbardziej narażeni są użytkownicy starsi, mniej obeznani i osoby o ograniczonym dostępie do wiarygodnych informacji. Ofiary, które poszukują „ekspresowych” wieści o inwestycjach lub kończą rozmowę na pojedynczym potwierdzeniu, to łatwy cel. W Polsce raporty sektora donoszą, że ataki inwestycyjne i phishing związany z finansami, stanowią duży odsetek wykrywanych akcji, a straty mogą być znaczne.
Co robią instytucje finansowe i organy regulacyjne?
Banki i zakłady ubezpieczeń inwestują w AI po swojej stronie, budując systemy wychwytujące anomalie w płatnościach oraz modele oceny ryzyka. Spółki z branży finansowej coraz częściej stosują modele przeciwdziałania oszustwom, opierające się na uczeniu maszynowym. Organy regulacyjne i zespoły takie jak CSIRT KNF monitorują i raportują tysiące złośliwych domen.
AI daje przestępcom nowe szanse. Automatyzacja przyspiesza i zwielokrotnia skalę oszustw. Jednocześnie to także narzędzie obronne, jeśli instytucje zainwestują w systemy wykrywające scamy AI i edukację. Dla użytkownika najważniejsze jest, aby zachować zdrowy sceptycyzm i weryfikować informacje różnymi kanałami. Jak ukazują krajowe i międzynarodowe raporty, to wyścig zbrojeń między kreatywnością przestępców, a zdolnością obrony instytucji. To starcie technologii z technologią.
Bankier.pl
