Sztuczna inteligencja radykalnie zmieniła IT, ale w tym samym tempie napędziła cyberprzestępczość. AI jest dziś wykorzystywana do masowego phishingu, deepfake’ów głosu i wideo oraz podszywania się pod znane marki i osoby, co realnie przekłada się na straty finansowe i reputacyjne firm. Granica między prawdziwą komunikacją a manipulacją coraz częściej się zaciera, a ataki są coraz lepiej dopasowane, zautomatyzowane i trudniejsze do wykrycia.

Same szkolenia i świadomość pracowników już nie wystarczą. Skuteczna obrona wymaga podejścia zakładającego kompromitację: wielowarstwowych zabezpieczeń, twardych procesów (np. zasada czterech oczu), Zero Trust, silnej kontroli tożsamości i szybkiej reakcji na incydenty. W erze AI bezpieczeństwo to nie zapobieganie za wszelką cenę, lecz odporność organizacji na skutki ataku.

Każdy kij ma dwa końce – czyli jak sztuczna inteligencja zrewolucjonizowała świat IT, ale równie mocno cyberprzestępczość

Sztuczna inteligencja to przełom, który zmienił sposób funkcjonowania całego ekosystemu IT. Musimy jednak pamiętać, że ten postęp ma swoją drugą stronę – tę gorszą i bardziej niebezpieczną. Cyberprzestępcy równie chętnie korzystają z tych samych technologii. Przykład? W czerwcu 2022 roku FBI opublikowało ostrzeżenie o fali zgłoszeń dotyczących fałszywych kandydatów, którzy posługiwali się deepfake’ami w rekrutacjach. Twarze i głosy generowane przez AI pozwalały przestępcom podszywać się pod specjalistów IT, często po to, by zdobyć dostęp do firmowej infrastruktury.

I nie jest to wyjątek. Według raportu "Gartner’s 2024 AI Security Survey", aż 73% przedsiębiorstw doświadczyło co najmniej jednego incydentu związanego z AI w ciągu ostatnich 12 miesięcy. Nie są to więc już odosobnione przypadki, lecz nowa rzeczywistość, w której każda organizacja musi liczyć się z tym typem zagrożeń.

AI zmienia reguły gry. Jeśli każdy może dziś wygenerować realistyczne video, złożyć z kilku fragmentów syntetyczny głos lub napisać maila na poziomie native speakera, to znaczy, że granica między rzeczywistością a manipulacją powoli zanika. A my – zarówno jako użytkownicy, jak i jako organizacje jesteśmy coraz częściej zmuszeni podejmować decyzje w świecie, w którym nic nie jest już tak oczywiste, jak było kiedyś.

Kluczowe zagrożenia – jak cyberprzestępcy wykorzystują sztuczną inteligencję?

Brand Protection – AI ułatwia podszywanie się pod firmy

W 2024 roku CERT Orange Polska ostrzegał przed kampanią smishingową, w której cyberprzestępcy podszywali się pod znaną i lubianą markę Revolut. Wykorzystując fałszywe domeny z certyfikatami SSL i identycznym brandingiem, prowadzili ofiary do spreparowanych stron logowania, gdzie wyłudzali dane, dokumenty i zdjęcia. Ataki były masowe i prowadzone z użyciem narzędzi generujących treść wiadomości SMS i maile phishingowe przy pomocy AI.

To tylko jeden z wielu podobnych przykładów. W ostatnich miesiącach coraz częściej obserwujemy kampanie phishingowe, w których AI generuje całe fałszywe strony e-commerce (sprzedające np. podróbki znanych marek), chaty obsługi klienta prowadzone przez boty podszywające się pod konsultantów oraz złośliwe kampanie reklamowe oparte o wygenerowane deepfake’i znanych influencerów czy celebrytów. Oszuści korzystają przy tym z generatorów głosu, obrazu i tekstu, które czasami naprawdę trudno odróżnić od prawdziwych. Warto też podkreślić, że zautomatyzowane kampanie AI działają w czasie rzeczywistym i z dużą skalą. Cyberprzestępcy testują wiele wersji wiadomości, domen i grafik, korzystając z algorytmów A/B testingu. Czyli dokładnie tak, jak robią to działy marketingu w firmach. W efekcie skuteczność takich ataków rośnie, a ich szybkie wykrycie staje się coraz trudniejsze.

Firmy z sektorów takich jak e-commerce, fintech, logistyka czy zdrowie są szczególnie narażone: ich klienci podejmują decyzje zakupowe na podstawie zaufania do marki. Kiedy to zaufanie zostaje naruszone, może to prowadzić do konsekwencji zarówno finansowych jak i reputacyjnych. Właśnie dlatego ochrona marki (Brand Protection) staje się jednym z najważniejszych elementów strategii cyberbezpieczeństwa w erze wszechobecnej sztucznej inteligencji.

AI w phishingu i deepfake’ach

Wyobraźmy sobie taką sytuację: pracownik działu finansowego dostaje telefon od „prezesa”, który prosi o pilny przelew. Głos brzmi znajomo, sytuacja też wydaje się być dość pilna. Natomiast to nie Prezes Zarządu wykonuje ten telefon – to deepfake audio wygenerowany przez sztuczną inteligencję, wykorzystujący nagrania z wcześniejszych wystąpień medialnych.

Dla wielu z nas pewnie brzmi to jak hipotetyczny scenariusz, ale warto wiedzieć, że podobne sytuacje miały już miejsce. W 2023 roku jeden z banków w Hongkongu stracił ponad 25 milionów dolarów, gdy pracownicy zostali zmanipulowani do przelania środków po rozmowie z „dyrektorem”, którego głos był w rzeczywistości sztucznie wygenerowany .

Wraz z rozwojem narzędzi AI, phishing wchodzi na zupełnie nowy poziom. Treści e-maili generowane są z uwzględnieniem stylu komunikacji konkretnego pracownika, kontekstu organizacyjnego, a nawet stylu branżowego.

Deepfake wideo i audio są szczególnie wykorzystywane do oszustw w mediach społecznościowych, np. w kampaniach sprzedaży fałszywych produktów z użyciem wygenerowanego wizerunku znanych influencerów. Ofiary często nie są w stanie odróżnić syntetycznego przekazu od prawdziwego – zwłaszcza, gdy atak opiera się na zaufaniu do konkretnej osoby.

Jak się bronić? Procesy i świadomość mogą się okazać niewystarcząjące

W świecie zdominowanym przez zautomatyzowane ataki, realne bezpieczeństwo polega na ograniczaniu skutków kompromitacji, szybkim reagowaniu i mądrze zaprojektowanych procesach.

Jednym z takich procesów może być autoryzacja działań wrażliwych, takich jak przelewy bankowe. Coraz więcej organizacji wprowadza zasadę „czterech oczu”, czyli wymogu zatwierdzenia operacji przez co najmniej dwie osoby. Oczywiście, taki model wydłuża czas procesów, może być niewygodny, ale na ten moment jest jedną z najskuteczniejszych barier dla ataków socjotechnicznych. Dlaczego? Bo nawet jeśli jedno ogniwo zawiedzie, drugie może w porę zareagować. W tym kontekście świadomość pracowników nadal ma znaczenie, ale nie powinna być traktowana jako filar całej strategii.

Regularne szkolenia i testy phishingowe pomagają, ale historia pokazuje, że zawsze znajdzie się ktoś, kto zignoruje alert, zapomni o procedurze lub da się zaskoczyć w momencie nieuwagi. Dlatego tak ważne jest, by mechanizmy bezpieczeństwa nie polegały wyłącznie na czujności człowieka. Tradycyjne procesy bezpieczeństwa muszą ewoluować. Oprócz dwuskładnikowej autoryzacjii weryfikacji behawioralnej, coraz większe znaczenie zyskują zasady Zero Trust.

Największym wyzwaniem pozostaje fakt, że cyberprzestępcy korzystając z AI potrafią działać szybko i na masową skalę. Dlatego obrona musi być wielowarstwowa – łącząca procesy, technologię i analizę ryzyka w sposób, który zakłada jedno: człowiek zawsze będzie najsłabszym ogniwem.

Jeśli chcesz porozmawiać o tym, jak zabezpieczyć swoją organizację przed nadużyciami wykorzystującymi AI – skontaktuj się z nami. Przeanalizujemy Twoje środowisko i dobierzemy rozwiązania, które realnie zwiększą odporność Twojej firmy na nowe formy cyberzagrożeń.

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.