Sztuczna inteligencja zmienia narzędzia oszustów. Dzięki modelom generatywnym przestępcy tworzą głosy, teksty i fałszywe strony szybciej, niż kiedykolwiek. To pozwala im działać na większą skalę i z większą skutecznością.
Sztuczna inteligencja nie wymyśliła oszustw. Ułatwiła jednak ich wykonanie. Tradycyjne ataki, takie jak phishing czy wyłudzenia inwestycyjne, zyskały wiatr w żagle. Zamiast ręcznie pisać setki wiadomości, oszuści używają generatorów tekstu, które w kilka minut tworzą dopracowane, spersonalizowane maile. Zamiast podstawiać jedną fałszywą stronę, mogą natychmiast uruchomić ich dziesiątki z drobnymi wariantami treści, by ominąć filtry. To nie jest tylko teoria. Raporty z ostatnich lat pokazują wyraźny wzrost wykorzystania narzędzi AI w tego typu atakach.
Automatyzacja pracy przestępców ma trzy główne efekty. Po pierwsze zwiększa skalę. Zamiast pojedynczych kampanii można uruchomić setki wariantów ataku jednocześnie. Po drugie zwiększa trafność. Modele AI potrafią analizować publiczne profile czy posty w mediach społecznościowych, by dopasować komunikat do konkretnej ofiary. Po trzecie poprawia wiarygodność. Generowane głosy i filmy deepfake wyglądają i brzmią coraz bardziej realistycznie.
Jak oszuści wykorzystują AI krok po kroku:
- Rozpoznanie celu. Automaty zbierają publiczne dane. Analiza jest szybka i tania.
- Tworzenie treści. Model generatywny pisze e-maile, SMS-y i opisy stron. Treści można spersonalizować masowo.
- Generowanie mediów. Sztuczna inteligencja potrafi sklonować głos lub wygenerować krótkie wideo z „mową” fałszywego CEO lub celebryty.
- Wdrożenie skali. Skrypty automatycznie wysyłają wiadomości, uruchamiają landing page i monitorują, które warianty działają najlepiej.
- Pranie i transfer środków. Zyski są szybko wyprowadzane przez wiele małych kont i usług płatniczych.
AI może się dziś pojawić w każdym etapie ataku. To nie tylko „lepsze maile”, ale kompletne, zautomatyzowane łańcuchy oszustwa.
Głosowe i wideo deepfejki - zagrożenie dla banków i klientów
Najbardziej medialny efekt niosą klony głosu i deepfake wideo. Przestępcy nagrywają rozmowy z ofiarami albo tworzą fałszywe nagrania twarzy i głosu, które wyglądają jak prawdziwe. W praktyce oznacza to, że oszust może „zadzwonić” do kierownika z banku lub do klienta i przekonać go, że rzeczywiście rozmawia z zaufaną osobą. To może zmienić reguły bezpieczeństwa oparte na weryfikacji głosowej lub prostych potwierdzeniach telefonicznych. Jak podaje CSIRT KNF: liczba złośliwych domen i kampanii podszywających się pod instytucje finansowe rośnie, coraz częściej pojawiają się nagrania i fałszywe wypowiedzi wykorzystujące AI.
Czy AI czyni oszustów „bardziej skutecznymi” niż ludzie?
Tak i nie. AI robi dwie rzeczy: zwiększa efektywność i obniża próg wejścia. Grupy zorganizowane mogą skorzystać najbardziej, bo mają infrastrukturę i know-how, by skalować działania. Małe „operacje” stają się także łatwiejsze dla jednego operatora technicznego. To oznacza wzrost liczby ataków i większe straty ogółem dla rynku. Z drugiej strony wiele narzędzi AI generuje ślady i powtarzalność, które specjaliści ds. bezpieczeństwa mogą analizować i blokować. Jednakże tempo rozwoju narzędzi do wykrywania pozostaje w tyle za kreatywnością atakujących. Raporty branżowe wskazują, że instytucje często nie nadążają z inwestycjami w detekcję deepfake’ów i szkolenia personelu.
Nie można polegać tylko na technologii
Przestępcy coraz częściej wykorzystują sztuczną inteligencję do tworzenia wyrafinowanych ataków wymierzonych w osoby fizyczne. Generatywne modele, takie jak GPT, pozwalają im przygotowywać perfekcyjnie sformułowane wiadomości phishingowe i SMS-y, które trudno odróżnić od autentycznej korespondencji bankowej czy urzędowej. Dzięki analizie danych osobowych ofiar możliwe jest personalizowanie treści, co zwiększa skuteczność manipulacji psychologicznej.
AI umożliwia również tworzenie niezwykle realistycznych fałszerstw tożsamości i multimediów, tzw. deepfake. Oszuści generują filmy, nagrania audio i zdjęcia przedstawiające rzekomo rzeczywiste osoby – polityków, celebrytów czy członków rodzin ofiar – i wykorzystują je do wymuszeń, wyłudzeń lub kampanii dezinformacyjnych, np. fałszywych reklam inwestycyjnych.
Jednym z najgroźniejszych zastosowań AI jest automatyzacja cyberataków. Przestępcy wykorzystują sztuczną inteligencję do generowania tysięcy wiadomości phishingowych w różnych językach, obsługi czatów z ofiarami, a nawet dynamicznego modyfikowania złośliwego oprogramowania w celu obejścia zabezpieczeń. W połączeniu z botnetami działającymi 24/7 takie ataki stają się niemal autonomiczne. Systemy AI samodzielnie testują i dopasowują strategie, aby zwiększyć skuteczność infiltracji.
Z drugiej strony, ta sama technologia staje się kluczowym narzędziem w walce z cyberprzestępczością. Banki i instytucje finansowe coraz częściej wykorzystują AI do analizy zachowań użytkowników i wykrywania nietypowych transakcji, co ogranicza ryzyko strat. Jednak przewaga przestępców wynika z ich elastyczności i szybkości wdrażania innowacji, podczas gdy systemy obronne są ograniczone regulacjami i procesami certyfikacyjnymi.
W obliczu rosnącej skali zagrożeń nie możemy polegać wyłącznie na technologii – równie ważne jest budowanie świadomości użytkowników i ich odporności na manipulację. Tylko połączenie innowacyjnych narzędzi obronnych z edukacją społeczną pozwoli skutecznie ograniczyć ryzyko wynikające z przestępczego wykorzystania AI.
Konkretny przykład: fałszywe reklamy i kampanie inwestycyjne
Kilka dni temu zagraniczne media pisały o grupie przestępców, która wyłudziła miliony dolarów m.in. w Brazylii. Za pomocą AI stworzyli deepfejki reklam z wizerunkiem znanej modelki, oraz innych celebrytów, które namawiały do fałszywych inwestycji. Efekt był taki, że ofiary ufały przekazowi i wpłacały środki. To pokazuje, że AI nie tylko poprawia techniczną stronę ataku, ale też jego psychologiczną siłę.
Najbardziej narażeni są użytkownicy starsi, mniej doświadczeni i osoby o ograniczonym dostępie do rzetelnych informacji. Ofiary, które szukają „szybkich” wiadomości o inwestycjach lub kończą rozmowę na jednym potwierdzeniu, to łatwy cel. W Polsce raporty sektora pokazują, że ataki inwestycyjne i phishing związany z finansami, stanowią dużą część wykrywanych kampanii, a straty potrafią być znaczące.
Co robią instytucje finansowe i regulatorzy?
Banki i ubezpieczyciele inwestują w AI po swojej stronie, tworząc systemy wykrywające anomalie w płatnościach i modele ocen ryzyka. Firmy z branży finansowej coraz częściej stosują modele przeciwdziałania fraudowi, opierające się na uczeniu maszynowym. Regulatorzy i zespoły takie jak CSIRT KNF monitorują i zgłaszają tysiące złośliwych domen.
AI daje przestępcom nowe możliwości. Automatyzacja przyspiesza i zwiększa skalę oszustw. Jednocześnie, to także narzędzie obronne, jeśli instytucje zainwestują w systemy wykrywające scamy AI i edukację. Dla użytkownika najważniejsze jest, aby zachować zdrowy sceptycyzm i sprawdzać informacje innymi kanałami. Jak pokazują krajowe i międzynarodowe raporty, to wyścig zbrojeń między kreatywnością przestępców, a zdolnością obrony instytucji. To walka technologii z technologią.
