Początki sztucznej inteligencji sięgają lat 50. XX wieku, kiedy to naukowcy zaczęli eksperymentować z algorytmami, które miały naśladować ludzkie rozumowanie. Pierwsze próby były dość ograniczone i opierały się na prostych regułach i algorytmach. Jednak wraz z postępem w dziedzinie matematyki, informatyki i neurobiologii, możliwości sztucznej inteligencji zaczęły się rozwijać.
Sztuczna inteligencja to pojęcie bardzo szerokie, które nie posiada jednej, powszechnie uzgodnionej definicji prawnej. Poniżej przytaczamy definicję zaproponowaną przez Parlament Europejski:
"Sztuczna inteligencja (z ang. artificial intelligence) to zdolność maszyn do wykazywania ludzkich umiejętności, takich jak rozumowanie, uczenie się, planowanie i kreatywność (-) umożliwia systemom technicznym postrzeganie ich otoczenia, radzenie sobie z tym, co postrzegają i rozwiązywanie problemów, działając w kierunku osiągnięcia określonego celu. Komputer odbiera dane (już przygotowane lub zebrane za pomocą jego czujników, np. kamery), przetwarza je i reaguje. Systemy SI są w stanie do pewnego stopnia dostosować swoje zachowanie, analizując skutki wcześniejszych działań i działając autonomicznie"[1].
Sztuczną inteligencję możemy podzielić na analityczną – koncentruje się na analizie danych, wyciąganiu wniosku i podejmowaniu decyzji w oparciu o dane, które zostały dostarczone oraz generatywną - skupia się na tworzeniu nowych rzeczy. Może generować teksty, obrazy, muzykę a nawet filmy na podstawie otrzymanego opisu[2].
Ze sztuczną inteligencją powiązane są także inne pojęcia, a technologia ta może być również wykorzystywana przez cyberprzestępców lub do rozprzestrzeniania dezinformacji.
Dezinformacja to celowe rozpowszechnianie fałszywych informacji w celu wprowadzenia ludzi w błąd. Dzięki wykorzystaniu sztucznej inteligencji o wiele szybciej i skuteczniej można tworzyć fałszywe artykuł i dostosowywać je pod określone grupy odbiorców, aby były jeszcze bardziej wiarygodne. Z kolei boty zasilane przez sztuczną inteligencję mogą masowo udostępniać te treści na platformach społecznościowych, aby jak najszybciej dotrzeć do szerokiego grona odbiorców.
Deepfake to technologia, która umożliwia tworzenie niezwykle realistycznych, ale całkowicie fałszywych obrazów, filmów i nagrań dźwiękowych. Algorytmy umożliwiające tworzenie zmanipulowanych materiałów potrzebują zbiorów danych – zdjęć, filmów i nagrań dźwiękowych osoby, pod którą chce się „podszyć” na podstawie tych danych modele sztucznej inteligencji „uczą się” charakterystycznych cech twarzy, mimiki, głosu, ruchów. Po odpowiednim przeszkoleniu, algorytm może tworzyć realistyczne, sfałszowane materiały, które przedstawiają daną osobę mówiącą lub robiącą rzeczy, których nigdy nie zrobiła.
Rodzaje oszustw z wykorzystaniem sztucznej inteligencji
Oszustw z wykorzystaniem nowych technologii jest wiele. Przestępcy umiejętnie korzystają z dostępnych narzędzi tworząc przekazy, które mają uśpić naszą czujność, wzbudzić emocje, skłonić do podjęcia określonych działań. Gdzie możemy zetknąć się z manipulowaniem obrazem, dźwiękiem czy tekstem? Przede wszystkim w przestrzeni wirtualnej. Zastanówmy się czy nie trafiliśmy na nagranie ze znaną osobą reklamującą przykładowo platformę inwestycyjną, na której – bez zbędnego wysiłku, przy małym nakładzie czasu i początkowo niewielkim wkładzie finansowym – można osiągnąć niebotyczne zyski? Kogo choć raz nie kusiła okazja na szybki zarobek. Albo nagranie przedstawiające znanego aktora opowiadającego szokującą historię ze swojego życia? Podobnie jak chwytliwe nagłówki artykułów czy całe serię podawanych dalej sensacyjnych newsów. Ile z nich jest prawdą, które zostały faktycznie napisane czy nagrane przez wiarygodne i rzetelne osoby, a którą są wytworem sztucznej inteligencji? Cyberzagrożenia mogą przybierać różne formy. Coraz częściej mamy do czynienia z manipulowaniem obrazem, dźwiękiem, tekstem.
Zamiana twarzy na zdjęciach lub w filmach, mówiące obrazy, manipulacja głosem, modyfikacja atrybutów twarzy czy stworzenie osoby, która nie istnieje w świecie realnym. To przykłady działań wykorzystywanych przez oszustów.
W jaki sposób tworzą zmanipulowane materiały? Głównie poprzez wykorzystanie sieci generatywnych (ang. Generative Adversarial Networks, w skrócie: GAN). Są to specjalne modele komputerowe, składające się z dwóch części: generatora tworzącego nowe dane i dyskryminatora odróżniającego oryginał od wygenerowanych danych. Coraz częściej wykorzystuje się również algorytmy typu Stable Diffusion, które wykorzystują podpowiedzi tekstowe tzw. prompty do kierowania procesem generowania obrazów. Te metody pozwalają użytkownikom na bardziej szczegółowe tworzenie treści odzwierciedlając ich wizje i koncepcje. Umożliwiają one generowanie obrazów, które są nie realistyczne i złożone wizualnie, ale również zgodne z niuansami opisu dostarczonego przez użytkownika.
Do czego wykorzystywane są zmanipulowane materiały?
Przestępcy wykorzystują technologie do uwiarygodnienia prowadzonych przez siebie kampanii i docierają dzięki temu do różnych osób, nawet tych bardzo ostrożnych. Przykładem takich działań są:
· oszustwa inwestycyjne – przestępcy wykorzystują wizerunki znanych osób i na ich podstawie tworząc odpowiednie nagrania, które zachęcają do inwestowania. Na takich wideo widzimy znaną osobę, np. piłkarza czy polityka, który opowiada o platformie czy aplikacji, z której korzysta i dzięki temu zarabia każdego dnia! Jednocześnie udostępnia link do wspomnianej aplikacji czy strony, żeby podzielić się z oglądającymi swoim przepisem na sukces. Nagranie wygląda bardzo autentycznie – do tego stopnia, że wiele osób zostaje oszukanych[3].
· oszustwa finansowe z wykorzystaniem autorytetu – wykorzystywanie wizerunku może dotykać biznesu. Przestępcy wykorzystują wizerunek prezesów czy dyrektorów przedsiębiorstwa do oszustw finansowych. Tak przygotowana manipulacja może posłużyć np. do wyłudzenia danych lub pieniędzy. Przykładem schematu działania przestępców jest jedne z najkosztowniejszych oszustw, upublicznione w ostatnim czasie – przestępcy najpierw wysłali wiadomość podszywając się pod dyrektora finansowego firmy (tzw. atak typu BEC[4]), następnie przygotowali rozmowę wideo. Uczestnikami rozmowy miał być pracownik międzynarodowej firmy, któremu wydano mailowo polecenie i zarząd. Czego nie wiedział wspomniany pracownik? Za pomocą deepfake cyberprzestępcy wygenerowali pozostałych uczestników wideokonferencji. W rezultacie oszustwo wyglądało na autentyczną rozmowę z prawdziwymi osobami, a strata finansowa przedsiębiorstwa sięgnęła 25 mln dolarów[5].
· manipulacja wypowiedziami, zachowaniami – nowe technologie wykorzystywane są także do szerzenia dezinformacji. Nagrania przedstawiające osoby publiczne wypowiadające się lub zachowujące w sposób zupełnie inny niż zawsze – zmiana poglądów, obraźliwe zachowania, ośmieszanie siebie i innych – mogą być przykładami dezinformacji. Manipulacja obrazem, dźwiękiem i treściami jest dodatkowo groźna właśnie w przypadku znanych osób – wideo z ich udziałem potrafi rozprzestrzeniać się wyjątkowo szybko w sieci. „Znane twarze” są często udostępniane, podawane dalej, przez co fałszywe nagrania docierają do wielu osób.
· podszywanie się pod bliskich – kopiowanie głosu to kolejna metoda na oszustwo. Każdego dnia publikowanych jest wiele nagrań. Vlogi, portale społecznościowe, wideo udostępniane na platformach itd. to przykłady miejsc, w których użytkownicy chętnie dzielą się nagraniami z obserwującymi. Dodatkowo, wiele kont tworzonych jest jako konta publiczne – treści na nich zawarte dostępne są praktycznie dla każdego. Przestępcy wykorzystują nagrania do podrobienia głosu i podszycia się pod daną osobę. Jak długie musi być nagranie, żeby mogło posłużyć jako próbka do skopiowania? Wystarczy zaledwie kilka sekund. Wykorzystywane jest do manipulowania bliskimi, wprowadzania w błąd, a nawet szantażu!
· dyskredytacja i podważanie zaufania – deepfake jest także wykorzystywany do manipulowania obrazem i dźwiękiem w celu przedstawienia osób w kompromitujących sytuacjach. Przykładowo, w zeszłym roku odnotowano przypadek użycia technologii deepfake do stworzenia filmu z amerykańską polityk Nancy Pelosi, fałszywie przedstawiając ją jako odurzoną alkoholem[6]. Większość deepfake’ów, zwłaszcza tych skierowanych przeciwko kobietom, jest wykorzystywana do tworzenia materiałów pornograficznych, co prowadzi do poważnych konsekwencji społecznych i moralnych, podważając zaufanie i godność osób przedstawionych na manipulowanych materiałach.
Sposoby rozpoznawania deepfake'ów w obrazie i głosie
Wykorzystywana technika lip-sync, czyli manipulowanie nagraniem lub stworzenie nowego wykorzystując klonowanie głosu i dostosowanie kształtu i ruchu ust do wypowiedzi pozwala na stworzenie nieprawdziwego przekazu. Rozpoznawanie manipulacji nie jest rzeczą prostą. Jest jednak sprawą kluczową, jeśli chodzi o korzystanie z urządzeń i internetu.
· podejście krytyczne – wszelkiego rodzaju treści opublikowane w sieci powinniśmy traktować z lekką dozą krytycyzmu. Szczególnie jeśli mamy do czynienia z sensacyjnymi doniesieniami, szokującymi wypowiedziami czy zachowaniami. Po pierwsze należy się zastanowić czy faktycznie dana sytuacja mogła mieć miejsce, po drugie – skąd pochodzi nagranie, obraz, wypowiedź. Weryfikacja źródła jest kluczowa.
· manipulacja emocjami – uważajmy na wszelkiego rodzaju treści wzbudzające różne emocje (np. wyjątkowa oferta, ograniczona czasowo, znane osoby reklamujące dany produkt czy platformę, ale także informacja o zagrożeniu bliskich osób). Jeśli ktoś próbuje wywołać u nas poczucie strachu, zagrożenia, obaw, presji czasu – może to być sygnał, że mamy do czynienia z działaniami oszustów.
· weryfikacja osoby, która się z nami kontaktuje – jeśli w słuchawce telefonu bądź w przesłanej wiadomości głosowej usłyszymy znany głos trudno jest myśleć o tym, że może to nie być osoba, którą faktycznie znamy. Szczególnie jeśli jest to ktoś nam bliski. Słysząc jak mówi do nas np. przejętym głosem, opowiada o czymś strasznym co się wydarzyło, prosi o pomoc – trudno wyłączyć emocje. Pamiętajmy jednak, że każdą sytuację należy zweryfikować. Kontynuując rozmowę jesteśmy z jednej strony narażeni na dalszą manipulację, z drugiej zaś mamy szansę na zdemaskowanie oszusta – zadając dodatkowe pytania mające na celu potwierdzenie, że faktycznie rozmawiamy z daną osobą. Jeśli ktoś wymusza na nas podjęcie określonych działań, np. przelew czy podanie danych należy się rozłączyć lub zatrzymać przesłane i odtwarzane nagranie. Usłyszaną historię potwierdzamy dzwoniąc do znajomego bądź spotykając się na żywo.
· błędy w wideo i obrazie – przygotowanie wiarygodnego nagrania audiowizualnego nie zawsze sprawi, że wszystko będzie wyglądało idealnie. Zwracajmy uwagę na niuanse. Czy mimika twarzy faktycznie świadczy o tym, że dane słowa są wypowiadane przez konkretną osobę – usta mogą układać się zupełnie inaczej. Albo czy zdjęcie, na które patrzymy faktycznie przypomina daną osobę – czy twarz wygląda tak samo, czy oczy się nie różnią, nie ma widocznych dodatkowych elementów (linie i zakrzywienia). Cały czas obecne są także dodatkowe palce na zdjęciach – dłoń z ilością palców mniejsza lub większa niż normalnie – rozmazanie ust, niedopasowanie emocji do ruchów ciała, głowy. To wszystko szczegóły, które tworzą obraz wskazujący na manipulowaniu treściami.
· błędy w materiale głosowym – w zależności od stosowanej techniki klonowania głosu możemy usłyszeć różnorodne nieprawidłowości, które mogą zdradzić użycie technologii deepfake. Charakterystyczne dla takich nagrań mogą być nienaturalne modulacje głosu, niezgodności w tempie mówienia czy emocji, sztucznie brzmiące intonacje czy błędy w wymowie słów – w szczególności liczb, dat, kwot. Ponadto, często można zauważyć brak synchronizacji dźwięku z ruchami ust osoby mówiącej. Wysoka jakość nagrania może zamaskować niektóre z tych defektów, jednak subtelne rozbieżności, takie jak niewłaściwe akcentowanie słów czy nielogiczne pauzy w wypowiedzi, mogą sugerować manipulację. Te anomalie mogą być kluczowe przy identyfikowaniu fałszywych nagrań, szczególnie w kontekście weryfikacji wiarygodności materiałów otrzymanych z niepewnych źródeł.
· budowanie świadomości – edukacja w zakresie świadomości cyberzagrożeń i metod, którymi mogą posługiwać się przestępcy, a także informacje o atakach to wiedza, jaką każdy użytkownik urządzeń i internetu powinien posiadać i rozwijać. Oszuści wykorzystują każdą nadarzającą się okazję i sposobność do przeprowadzenia ataku. Mowa tu zarówno o atakach wymierzonych w osoby fizyczne, jak i firmy.
· tworzenie procedur i rozwiązań – każda z firm i instytucji powinna wdrożyć procedury i rozwiązania mające na celu minimalizację ryzyka związanego z wykorzystywaną przez przestępców technologią deepfake. Świadomość zagrożenia i wiedza co zrobić w przypadku podejrzenia próby oszustwa są kluczowe dla ochrony przedsiębiorstwa. Może to być przykładowo procedura związana z obiegiem faktur, w której wszelkiego rodzaju zmiany i aktualizacje potwierdzane są za pośrednictwem narzędzi autoryzujących bądź wydania polecenia face to face.
Podstawowe zasady cyberhigieny – przypomnienie
Niebezpieczeństwa i oszustwa z wykorzystaniem AI i deepfake’ów to tylko nieliczne zagrożenia, na jakie jesteśmy narażeni podczas korzystania z internetu. Poniżej przypominamy najważniejsze zasady dotyczące cyberhigieny, które mogą nas uchronić przed utratą danych lub pieniędzy.
· Zasada ograniczonego zaufania – zawsze dokładnie weryfikuj wiadomości, jakie otrzymujesz za pośrednictwem komunikatorów lub na swoje skrzynki pocztowe. Dokładnie sprawdzaj nadawcę, nigdy nie przelewaj pieniędzy, jeśli nie masz pewności, kto jest po drugiej stronie.
· Zawsze sprawdzaj adres strony internetowej, na której się znajdujesz – zwróć uwagę, czy nie zawiera żadnych błędów, literówek. Jeśli cokolwiek budzi twoje wątpliwości, opuść stronę.
· Nie podejmuj działań i decyzji pod wpływem emocji – pamiętaj, że wszystkie wiadomości, które wywołują u Ciebie silne emocje lub nakłaniają do podjęcia natychmiastowych działań, mogą pochodzić od oszustów.
· Zachowaj czujność i zdrowy rozsądek – nie daj się zwieść wyjątkowym okazjom i atrakcyjnym ofertom. Jeśli oferta jest zbyt atrakcyjna by mogła być prawdziwa, prawdopodobnie jest fałszywa.
· Nigdy nie podawaj nikomu swoich prywatnych danych, w tym także danych logowania, haseł, kodów autoryzacyjnych.
· Stosuj silne i bezpieczne hasła – pamiętaj, że hasła powinny mieć minimum 14 znaków[7]. Do każdej usługi lub konta stosuj inne hasło. Rozważ korzystanie z menadżera haseł, który nie tylko pomoże w tworzeniu hasła, ale również umożliwi zapamiętanie go.
· Stosuj weryfikację dwuetapową – stosowanie drugiego składnika logowania zwiększa Twoje bezpieczeństwo. Stosując uwierzytelnianie wieloskładnikowe, nawet gdy ktoś pozna hasło – bez wprowadzenia drugiego składnika, nie uzyska dostępu do Twojego konta lub profilu.
· Regularnie aktualizuj sprzęt i oprogramowanie, z którego korzystasz.
· Korzystaj z oprogramowania antywirusowego.
· Zadbaj o swoją prywatność w sieci – tworząc konto na platformach społecznościowych zastanów się czy chcesz, żeby każdy użytkownik internetu miał dostęp do treści, które publikujesz. Ustawienie kont jako prywatne pozwoli Ci na zwiększenie ochrony i bezpieczeństwa. Jest to także zabezpieczenie prywatności – materiały są dostępne do wglądu tylko znajomym. Z rozwagą publikuj zdjęcia, filmy i nagrania głosowe w internecie -im mniej materiałów, tym mniejsze niebezpieczeństwo, że wykorzystają je przestępcy.
· Zweryfikuj grono znajomych i obserwujących w social mediach – sprawdź, kto ma dostęp do treści, jakie publikujesz na swoich profilach społecznościowych. Nie akceptuj zaproszeń od osób, których nie znasz.
· Jeśli ktoś wykorzysta Twój wierunek lub głos do osustwa, niezwłocznie zgłoś to sprawę administratorom serwisu. Większość platform ma procedury, które pozowalają usunąć takie treści. W przypadku szantażu lub poważnego naruszenia, zgłoś sprawę na policję. Poinformuj swoich bliskich i znajomych o zaistniałym incydencie. Dzięki temu możesz uchronić ich przed oszustwem.
· Wszystkie incydenty związane z Twoim bezpieczeństwem internetowym zgłaszaj do zespołu CERT Polska. Jeśli otrzymasz nietypową wiadomość SMS przekaż ją na numer 8080.
· Bądź świadomy zagrożeń, na jakie możesz natknąć się w sieci. Zadbaj o edukację siebie i swoich bliskich[8]. Aktualizuj swój poziom wiedzy na temat nowych technologii oraz zagrożeń, z jakimi się one wiążą.
Projekt finansowany ze środków Ministra Cyfryzacji.
- Artykuł wyraża jedynie poglądy autorów i nie może być utożsamiany z oficjalnym stanowiskiem Ministra Cyfryzacji.
[1] Więcej na ten temat definicji na stronie Parlamentu Europejskiego: https://www.europarl.europa.eu/topics/pl/article/20200827STO85804/sztuczna-inteligencja-co-to-jest-i-jakie-ma-zastosowania [dostęp: 10.06.2024]
[2] Więcej na temat pojęć i terminów związanych ze sztuczną inteligencją dostępnych na stronie: https://bezpiecznymiesiac.pl/bm/aktualnosci/1255,Sztuczna-inteligencja-definicje.html
[3] Więcej na temat oszustw inwestycyjnych dostępne na stronie ECSM Polska – kampanii koordynowanej przez NASK: https://bezpiecznymiesiac.pl/bm/baza-wiedzy/1232,Oszustwa-inwestycyjne.html [dostęp: 10.06.2024]
[4] Więcej na temat ataków na firmę typu BEC (ang. Business Email Compromise) dostępne na stronie Serwisu Rzeczpospolitej Polskiej: https://www.gov.pl/web/cyfryzacja/oszustwa-typu-bec [dostęp: 10.06.2024]
[5] Więcej na temat oszustwa dostępne na stronie CyberDefence24: https://cyberdefence24.pl/cyberbezpieczenstwo/deepfake-wart-25-mln-dolarow-oszustwa-zbieraja-zniwa [dostęp: 10.06.2024]
[6] Więcej na temat deepfake z amerykańską polityk Nancy Pelosi dostępne na stronie agencji prasowej Reuters: https://www.reuters.com/article/idUSL1N36V2E0/ [dostęp: 10.06.2024]
[7] Więcej o silnych hasłach na stronie CERT Polska: https://cert.pl/posts/2022/01/kompleksowo-o-haslach/ [dostęp: 10.06.2024 r.]
[8] Więcej na temat bezpiecznego korzystania z internetu na stronie Europejskiego Miesiąca Cyberbezpieczeństwa (European Cyber Security Month) – ogólnoeuropejskiej kampanii ECSM koordynowanej w Polsce przez Państwowy Instytut Badawczy NASK: https://bezpiecznymiesiac.pl/ [dostęp: 10.06.2024 r.]