Wyobraź sobie scenariusz: dzwoni do Ciebie szef. Głos znany, tonacja typowa dla niego. Mówi: "Potrzebuję teraz przelewu 500 tysięcy złotych na konto dostawcy. To nagłe, ale ważne. Zrób to jak najszybciej". Przesyłasz pieniądze. Po godzinie okazuje się, że to nie był Twój szef.
To nie jest science fiction. To przyszłość – a właściwie już teraźniejszość – cyberprzestępczości.
Hakerzy do wynajęcia odkryli niedawno nową broń. Nie jest to zaawansowana technologia sieciowa czy wymyślny kod złośliwy. To sztuczna inteligencja generatywna. I zmienia całą grę w sposób, który powinien Cię zaniepokoić.
Przez dekady atakujący polegali na tym samym podstawowym narzędziu: humanie. Człowiek piszący phishingowego emaila, człowiek dzwoniący pod fałszywym pretekstem, człowiek pracujący godzinami nad dobrze sformułowaną wiadomością, która wyglądałaby autentycznie.
To było pracochłonne. Czasochłonne. Drażliwe.
Teraz? Wystarczy kilka kliknięć.
ChatGPT, Claude, Gemini i inne modele generatywne pozwoliły cyberprzestępcom na skalowanie ataków społecznych w sposób, który do niedawna był niemożliwy. Zamiast jednego phishingowego emaila skierowanego do konkretnej osoby, haker może teraz wygenerować tysiące spersonalizowanych wiadomości – każda dostosowana do konkretnego odbiorcy, każda brzmiąca naturalnie, każda trudna do odróżnienia od autentycznej komunikacji.
Według badań Statista z 2024 roku, 73% firm obawia się ataków wspieranym przez AI. To jest wzrost z 58% w roku poprzednim. Ale bardzo mało z nich faktycznie przygotowało się na tę rzeczywistość.
Poczta e-mail jest ostatnio mniej efektywny. Wszyscy wiemy teraz, żeby być ostrożni. Ale wiadomość głosowa? Czy utwór wideo od szefa?
Firmy takie jak ElevenLabs, Descript czy Microsoft stworzyli technologie text-to-speech i voice cloning, które są oszałamiająco dokładne. Wgrasz nagranie głosu kogoś – może to być 30 sekund z materiału wideo YouTube'a – i AI wygeneruje nowe wypowiedzi brzmiące dokładnie jak ta osoba.
W marcu 2024 roku firma z sektora finansowego doświadczyła ataku deepfake voice'a. Haker zasklepił 35 milionów dolarów poprzez nakazanie pracownikowi wykonania przelewu – używając wygenerowanego głosu dyrektora generalnego. Pracownik był 100% pewny, że rozmawia z szefem.
To nie jest atak wymyślony przez sensacyjnych dziennikarzy. To zdarzyło się.
I jest to doskonały przykład tego, jak hakerzy do wynajęcia zmieniają metody. Nie muszą już samodzielnie podrabiać głosy czy zdobywać nagrań. Mogą wynająć hackownika specjalizującego się w tworzeniu deepfake'ów – a taki serwis już istnieje na dark web'bie. Cena? Zależy od usług hakerskich cennik. Ale dla czegośtak zyskownego, przestępcy są skłonni zapłacić.
Deepfake'i video są bardziej zaawansowane, ale również bardziej dostępne niż kiedykolwiek. W 2024 roku liczba deepfake'ów na internecie wzrosła o 550% w porównaniu z rokiem poprzednim.
Wyobraź sobie tego: otrzymujesz link do wideo na Slacku od kogoś, kto wydaje się być Twoim kolegą z zespołu. Wideo pokazuje Ciebie – ale to nie Ty. Pokazuje Cię "na czymś kompromitującym" lub robi coś, czego nigdy nie robiłeś. Pod wideo wiadomość: "Jeśli nie przelewiesz 10 000 złotych na to konto w ciągu 2 godzin, publikuję to na LinkedIn'ie i wysyłam do Twojego pracodawcy".
To jest shaming scam wspierany przez deepfake'i. I to już się zdarza.
Ale to też może być coś bardziej zaraźliwego. Wyobraź sobie deepfake wideo prezesa mówiącego pracownikom: "Zmienia się nasze bezpieczeństwo. Każdy musi teraz przesłać swoją dwuetapową autentykację przez ten link". Pracownicy widzą swojego szefa mówiącego to. Oni wierzą. I setki osób dostarcza dostęp do autentykacji.
Spear phishing – to bardziej zarafinowana forma phishingu, w której atakujący bada swoją ofiarę i tworzy spersonalizowane wiadomości – zawsze była niebezpieczna. Ale skalowanie tego było trudne.
Do niedawna.
Teraz atakujący mogą:
AI zrobi dokładnie to, o co prosisz. Będzie to spersonalizowane. Będzie to brzmiało autentycznie. Będzie zawierać detale, które są trudne do zmyślenia.
Według Kaspersky'ego, 41% wszystkich ataków phishingowych w 2024 roku było wspieranym przez AI – wzrost z 23% w 2023 roku.
A tutaj pojawia się kłopotliwa rzecz: niektóre usługi hakerskie mają teraz wbudowane moduły AI. Jeśli chcesz wynajmij hakera do przeprowadzenia kampanii phishingowej, może on użyć AI do skalowania operacji. Zamiast 100 wiadomości dziennie, może wysłać 100 000.
Inżynieria społeczna zawsze polegała na rozmowach. Haker dzwonił i podszywał się pod pracownika IT, pytając o hasło "dla diagnozy". Lub wysyłał wiadomość, twierdząc, że jest z banku.
Teraz? AI chatboty mogą to robić za niego.
Wyobraź sobie, że osoba z Twojej firmy otrzymuje wiadomość SMS od "banku": "Twoje konto zostało zablokowane ze względów bezpieczeństwa. Kliknij tutaj, aby je odblokować". Kliknie. Trafia na stronę, która wygląda identycznie jak strona banku. Ale to chatbot AI, który pyta pytania i zbiera dane logowania.
Co właśnie się stało? AI pretekstowe miało rozmowę z człowiekiem. Pytało, co trzeba pytać. Zbierało dane. Bez zaangażowania człowieka hakkera.
Cena za haker do wynajęcia oferujący takie usługi? Na dark web'bie, gdzie dostępne są usługi hakerskie, ceny wahają się od kilku tysięcy złotych za uproszczone wersje do kilkadziesiąt tysięcy złotych za zaawansowane systemy. Ale zwrot z inwestycji jest niesamowity.
Trzy powody:
AI pozwala hakarom skalować ataki, które wcześniej były możliwe tylko dla wysoko zasobowaych grup. Teraz każdy z dostępem do ChatGPT może stworzyć phishingową kampanię, która byłaby niegdyś możliwa tylko dla państwowych aktorów.
AI uczy się wzorów z miliardów tekstów, obrazów i filmów. Kiedy generuje phishing, wiadomość brzmi naturalnie. Kiedy tworzy deepfake, video wygląda naturalnie. Różnica między autentycznym a sfałszowanym staje się coraz bardziej zamazana.
Gdzie kiedyś trzeba było godzin na przygotowanie kampanii ataku, teraz trzeba minut. Czasem sekund. Atakujący mogą reagować na zmiany w realnym czasie.
Polska jest wciąż na wczesnym etapie obserwacji takich ataków, ale są już przypadki.
W 2024 roku Polska policja odnotowała wzrost phishingowych SMS'ów podszywających się pod banki – wiele z nich wykazało cechy charakterystyczne dla tekstu wygenerowanego przez AI (dziwne frazy, nieznaczne błędy gramatyczne, które są typowe dla AI na wczesnym etapie).
Sektory zdrowotne i finansowe są szczególnie narażone. Kiedy haker może wynająć hakera, który wynajmuje AI do tworzenia deepfake'ów lekarza mówiącego pacjentowi "przeslij dane do szpitala" – to jest zagrożenie, które polska medycyna dopiero zaczyna rozumieć.
1. Weryfikuj poprzez drugi kanałJeśli "szef" dzwoni z żądaniem przelewu, zignoruj telefon. Zadzwoń do niego na znany numer. Jeśli ktoś wysyła wiadomość z "banku", zignoruj link. Zaloguj się bezpośrednio na stronie banku.
Deepfake'i mogą być zachwycające, ale nie mogą poznać Cię lepiej niż rzeczywiści ludzie, którzy Ciebie znają.
2. Włącz dwuetapową autentykację (2FA) wszędzieNawet jeśli haker uzyska Twoje hasło poprzez phishing, nie będzie mógł się zalogować bez drugiego czynnika.
3. Bądź skeptyczny wobec zawartości emocjonalnejAI jest dobra, ale kiedy tworzy coś urgentnego lub emocjonalnego, czasem pojawiają się dziwne tonacje. "Kliknij TERAZ, to PILNE" to może być automatyczne.
4. Monitoruj konta finansoweJeśli ktoś spróbuje coś złośliwego, chcesz wiedzieć szybko.
1. Edukacja pracownikówZamiast mówić "uważaj na phishing", pokaż realne przykłady. Przeprowadzaj symulacje. Wysyłaj testowe phishingowe emaile – nawet jeśli będą wygenerowane przez AI.
2. Zaawansowana detekcjaSystemy, które mogą wykrywać deepfake'i wideo lub głosu, zaczynają się pojawiać. Inwestuj w takie rozwiązania dla krytycznych funkcji (kadry kierowcze, finanse).
3. MFA dla wszystkiegoSzczególnie dla IT, helpdesku, finansów. FIDO2/WebAuthn jest złotym standardem.
4. Weryfikacja przed transakcjamiJeśli transakcja finansowa jest dużą sumą, wymagaj weryfikacji poprzez drugi kanał. Telefoniczne potwierdzenie od zdezentalizowanego zespołu.
5. Segmentacja sieciJeśli haker wejdzie do systemu, nie powinien mieć dostępu do wszystkiego naraz.
Trwa wyścig zbrojeń. Im bardziej zaawansowane są narzędzia bezpieczeństwa, tym bardziej zaawansowane są ataki. Ale kilka rzeczy jest pewne:
Ale jest też dobra wiadomość: technologia sama w sobie nie jest dobra ani zła. AI, które może tworzyć deepfake'i, może też je wykrywać. Firmy takie jak Microsoft, Google i Deepfake Detection Challenge pracują nad systemami, które mogą zidentyfikować sfałszowaną zawartość.
Klucz to świadomość. Jeśli wiesz, że deepfake'i istnieją, że AI może pisać przekonujące phishing'i, że wygenerowana zawartość może być nierozróżnialna od autentycznej – jesteś już w lepszej pozycji do obrony.
Przeczytałeś scenariusze na początku artykułu. Mogą one brzmieć jak fikcja. Ale każdy z nich jest oparty na rzeczywistych incydentach z 2023-2024.
Deepfake'i i AI w służbie hakerów to nie jest "może się zdarzyć". To "zdarza się teraz".
Włącz 2FA. Weryfikuj poprzez drugi kanał. Edukuj swoich pracowników. Inwestuj w bezpieczeństwo.
Ponieważ jeśli hakerzy do wynajęcia mogą skalować ataki, to my musimy skalować obronę.