Aktualności

Sztuczna inteligencja a oszustwa internetowe

Sztuczna inteligencja zmienia oblicze cyberoszustw, pozwalając przestępcom na przeprowadzanie bardziej zaawansowanych i trudniejszych do wykrycia ataków. Dzięki zaawansowanym algorytmom, cyberprzestępcy mogą analizować dane szybciej i dokładniej, generować przekonujące fałszywe treści oraz automatyzować ataki na dużą skalę. W rezultacie, tradycyjne metody ochrony przed oszustwami stają się mniej skuteczne, a organizacje muszą wprowadzać nowe strategie obronne.

Deepfake to zaawansowana technologia, która wykorzystuje algorytmy sztucznej inteligencji do tworzenia realistycznych, ale fałszywych obrazów i nagrań wideo. Dzięki deepfake, przestępcy mogą tworzyć wideo, w którym osoba wydaje się mówić lub robić rzeczy, których nigdy nie powiedziała ani nie zrobiła.

 

Przykłady zastosowań deepfake w cyberoszustwach:

  •  

► oszustwa finansowe: przestępcy tworzą fałszywe nagrania wideo, w których np. dyrektorzy firm wydają polecenia przelania dużych sum pieniędzy;

► oszustwa inwestycyjne: wykorzystanie wizerunku znanych osób (np. celebrytów, polityków), które namawiają do zainwestowania w rzekomo promowane przez nich fundusze inwestycyjne;

► szantaż i kompromitacja: deepfake może być używany do tworzenia kompromitujących nagrań, które są następnie wykorzystywane do szantażu;

► manipulacja polityczna: fałszywe nagrania polityków mogą być używane do wpływania na wyniki wyborów lub destabilizacji sytuacji politycznej.

 

Phishing wspierany przez sztuczną inteligencję

 

Phishing jest metodą oszustwa, która polega na podszywaniu się przez przestępcę pod inną osobę. Przy użyciu sztucznej inteligencji wspomniana metoda staje się bardziej złożona i zaawansowana, niż jej klasyczne odmiany. Algorytmy oparte o AI mogą być wykorzystywane do przeszukiwania  internetu i zbierania informacji o potencjalnych ofiarach, co pozwala na bardziej precyzyjne ukierunkowanie ataków (spear phishing). Dzięki tym informacjom, spreparowane wiadomości stają się jeszcze bardziej wiarygodne i trudniejsze do zidentyfikowania jako fałszywe.

 

Przykłady zastosowań sztucznej inteligencji w phishingu:

 

  •  

► automatyzacja ataków phishingowych: boty oparte na sztucznej inteligencji mogą w sposób zautomatyzowany rozsyłać setki tysięcy wiadomości phishingowych, zwiększając zasięg i skuteczność ataków, być też responsywne i dysponować pewną wiedzą na temat ofiary. Boty oparte o sztuczną inteligencję mogą być w stanie ocenić potencjalne szanse na pomyślne dokonanie oszustwa, czy też przeprowadzać selekcje ofiar;

► phishing głosowy (vishing): sztuczna inteligencja może być wykorzystywana do tworzenia realistycznych głosowych wiadomości, które są trudne do odróżnienia od prawdziwych rozmów telefonicznych. Wystarczy kilka sekund próbki głosu, aby stworzyć jej sfałszowaną kopię;

► manipulacje audiowizualne wykorzystanie wizerunków znanych osób, poprzez manipulację materiałem audiowizualnym (modyfikacja z wykorzystaniem AI lub wygenerowanie audiowizualnej treści) do promowania narzędzia lub zachęcanie do podjęcia określonej czynności (np. wejścia w link, ściągnięcie aplikacji).

 

Socjotechnika wspierana przez sztuczną inteligencję

 

Socjotechnika to technika manipulacji psychologicznej stosowana w celu wywierania wpływu na zachowanie ludzi i skłonienia ich do podjęcia określonych działań lub ujawnienia poufnych informacji. Kiedy metody te są wspierane przez sztuczną inteligencję (AI), zyskują nowy poziom zaawansowania i skuteczności, co zwiększa zagrożenie dla jednostek, organizacji i całych społeczności. Dzięki analizie danych, wiadomości pochodzące od oszustów mogą wydawać się prawdziwe, a scenariusze bardzo przekonujące, co może zwiększać skuteczność ataków.

 

Przykłady zastosowań sztucznej inteligencji w socjotechnice:

 

► tworzenie fałszywych tożsamości: sztuczna inteligencja może generować fałszywe profile w mediach społecznościowych, które wyglądają na autentyczne, zwiększając skuteczność oszustw socjotechnicznych. Generowanie zdjęć tej samej osoby w różnych sceneriach, tworzenie wpisów na mediach społecznościowych, udzielanie się na grupach, czy nawet tworzenie wirtualnych grup znajomych to tylko początek góry lodowej;

► automatyzacja interakcji: chatboty zasilane przez sztuczną inteligencję mogą prowadzić realistyczne rozmowy z ofiarami, przekonując je do ujawnienia informacji lub wykonania określonych działań;

► personalizacja ataków: sztuczna inteligencja może analizować dane ofiar, aby tworzyć spersonalizowane wiadomości i scenariusze, które są trudniejsze do zakwestionowania.  Dane te mogą być pozyskiwane z mediów społecznościowych, czy wpisów na różnych serwisach internetowych.

 

W obliczu tych zagrożeń, kluczowe jest, aby zarówno organizacje , jak i indywidualni użytkownicy byli świadomi zagrożeń i podejmowali odpowiednie środki ochrony. Regulacje prawne, rozwój technologii wykrywania oszustw, edukacja i zwiększanie świadomości na temat zagrożeń związanych ze sztuczną inteligencją są niezbędne do skutecznej walki z cyberoszustwami.

 

Jak rozpoznać fałszywe nagrania ?

Nagrania deepfake często zawierają drobne błędy, które mogą pomóc w ich rozpoznaniu.  Zwróć uwagę na:

 

  • • mimikę twarzy – czy ruchy ust pasują do wypowiadanych słów?
  •  
  • • nienaturalne zniekształcenia twarzy – czy oczy są symetryczne? Czy twarz wygląda naturalnie?
  •  
  • • szczegóły na obrazach – np. nienaturalne ułożenie palców, rozmazane fragmenty, niedopasowanie ruchów ciała i głowy do emocji.

 

Zidentyfikowanie takich szczegółów może wskazywać, że materiał jest nieprawdziwy.

 

Nagrania głosowe, które są deepfake'ami mogą zawierać różne anomalie, takie jak:

 

• nienaturalne modulacje głosu,

  •  
  • • niezgodność tempa mówienia z emocjami,
  •  
  • • sztuczna intonacja lub błędy w wymowie liczb, dat i kwot.

 

W wielu przypadkach pojawia się brak synchronizacji dźwięku z ruchem ust mówiącego. Subtelne różnice, takie jak nieprawidłowe akcentowanie słów czy dziwne przerwy w wypowiedzi, mogą zdradzić, że dany materiał jest fałszywy.

 

Pamiętaj!

 

Opracowanie i wdrożenie procedur, mających na celu zminimalizowanie ryzyka wykorzystania deepfake'ów może uchronić organizację przed tego typu atakami. Przykładem może być procedura potwierdzania zmian w obiegu dokumentów (np. faktur) za pomocą narzędzi autoryzujących, jak również osobiste potwierdzanie poleceń. Regularne szkolenia z zakresu cyberbezpieczeństwa i odpowiednie rozwiązania technologiczne, takie jak oprogramowanie do wykrywania deepfake'ów, mogą być pomocne w zabezpieczaniu organizacji.

Edukacja pracowników na temat zagrożeń związanych z cybersoszustwami, w tym także deepfake'ami jest kluczowa. Każdy pracownik powinien być świadomy ryzyk związanych z tą technologią i wiedzieć, jak zareagować w przypadku podejrzeń dotyczących fałszywych nagrań lub informacji.

 

 

Projekt finansowany ze środków Ministra Cyfryzacji.

  • Artykuł wyraża jedynie poglądy autorów i nie może być utożsamiany z oficjalnym stanowiskiem Ministra Cyfryzacji.

 

 

 

Pliki do pobrania