Sztuczna inteligencja to najnowszy trend w dziedzinie technologii, który jest także wykorzystywany przez cyberprzestępców do oszustw w internecie, wyłudzania danych i pieniędzy. Jak się przed nimi bronić i na co zwrócić uwagę? Oto wszystko, co warto wiedzieć.
Spis treści
- Sztuczna inteligencja i jej możliwości w kontekście internetowych oszustw
- Nowe sposoby wyłudzania danych i pieniędzy przez oszustów
- Tworzenie kopii zapasowych plików – jak skutecznie chronić dane przed cyberprzestępcami?
- Sztuczna inteligencja a regulacje europejskie
Sztuczna inteligencja i jej możliwości w kontekście internetowych oszustw
Wykorzystanie zaawansowanych algorytmów uczenia maszynowego i kompleksowych modeli językowych, takich jak Chat-GPT, pozwala oszustom przygotować ataki na zmasowaną skalę i dotrzeć do nieświadomych internautów. Modele językowe mogą być wykorzystywane chociażby do przygotowywania wiadomości phishingowych, o niejednokrotnie wyższej skuteczności niż treści napisane przez człowieka.
Duże zagrożenie niosą też inne techniki związane ze sztuczną inteligencją. Cyberprzestępcy mogą imitować głos wybranej osoby np. w rozmowie telefonicznej, by uwiarygodnić swój przekaz i nakłonić kogoś do ujawnienia prywatnych danych czy wręcz przelania pieniędzy na konto oszustów.
Za modyfikacją głosu idzie też zjawisko znacznie bardziej rozbudowane. Dzięki technologii deep fake oszuści mogą manipulować obrazem, tworząc fałszywe filmiki np. ze znanymi osobami, które nakłaniają do podejrzanych inwestycji. Narzędzie to może również posłużyć do oczerniania kogoś czy wręcz skompromitowania znanej osoby, przedstawiając ją w niekorzystnej sytuacji.
Wykorzystanie botów telefonicznych
Szczególnie popularnym w Polsce zjawiskiem jest wykorzystanie botów, które dzwonią na numery telefonów i przedstawiają się zmyślonym imieniem i nazwiskiem. Swego czasu najpopularniejszym botem tego typu była Klara Sobieraj.
Jak działają boty telefoniczne? W rzeczywistości to wcześniej nagrane przez lektora fragmenty rozmów, które następnie są odtwarzane rozmówcy w zależności od kontekstu – sztuczna inteligencja rozpoznaje, co do niej mówimy. Celem takiej rozmowy telefonicznej jest nakłonienie ofiary na udział w darmowym spotkaniu czy wyłudzenie jego danych osobowych.
Jak rozpoznać bota telefonicznego? Bardzo często powtarza on te same fragmenty nagrań. Gdy zadamy mu pytanie spoza obszaru rozmowy, najczęściej twierdzi, że nie dosłyszał pytania i zmienia temat. Choć w słuchawce słyszymy lektora, intonacja kolejnych fragmentów rozmowy może do siebie nie pasować, co może wskazywać, że mamy do czynienia z botem.
Pod żadnym pozorem nie należy podawać prawdziwych danych w rozmowie z botem. Choć najczęściej celem rozmowy jest nakłonienie na przyjście na darmowe spotkanie, niekiedy może się zdarzyć, że przekazane dane mogą zostać wykorzystane do kolejnego przekrętu. Oszuści mogą np. zadzwonić do ofiary, podszywając się pod pracownika banku, uwiarygadniając swój przekaz wcześniej pozyskanymi danymi osobowymi.
Deep fake
Deep fake to technologia wykorzystująca sztuczną inteligencję, szczególnie zaawansowane sieci neuronowe, do tworzenia realistycznych i manipulacyjnych treści multimedialnych, takich jak zdjęcia, filmy lub dźwięki. Technologia ta umożliwia tworzenie fałszywych treści, które wydają się autentyczne, często manipulując twarzami lub głosami ludzi, co może prowadzić do dezinformacji, oszustw oraz potencjalnych zagrożeń dla prywatności i bezpieczeństwa.
Kopiowanie głosu
Współczesne narzędzia do podszywania się pod głos wybranej osoby są na tyle zaawansowane, że powszechnie służą do wyłudzeń. W ten sposób można np. wygenerować wypowiedź polityka, która nie miała miejsca czy wykorzystać celebrytę do reklamowania nielegalnych usług/nakłaniania do inwestycji.
Jednym z ostatnich przykładów takiego działania było wykorzystanie głosu Aleksandra Kwaśniewskiego do reklamowania podejrzanych usług inwestycyjnych. Tego typu schemat jest dość powszechny – cyberprzestępcy uwiarygadniają swój przekaz znaną osobą, by zdobyć zaufanie i poufne dane ofiar. Następnie kontaktują się z ofiarą, podając się za doradcę inwestycyjnego i nakłaniają do wykonania przelewu na fałszywe konto.
Technologia kopiowania głosu umożliwia:
- generowanie dowolnych wypowiedzi z wykorzystaniem głosu znanej osoby z zachowaniem odpowiedniej intonacji, także w języku obcym.
- synchronizację wygenerowanego głosu z ruchem wart nagranej osoby.
Używanie twarzy innych osób
Nieco bardziej zaawansowaną techniką deep fake jest nie tylko generowanie głosu, ale również wykorzystanie twarzy innych osób i synchronizacja ruchu warg. W efekcie sztuczna inteligencja tworzy nowe nagranie, które może oczerniać daną osobę, przedstawiając ją w sytuacji, w której nigdy się nie znalazła.
Tak wygenerowane nagrania mogą służyć do:
- rozpowszechniania propagandy politycznej – takie materiały były popularne w Wenezueli. Oszuści tworzyli też fałszywe wypowiedzi takich polityków, jak Barack Obama, Władimir Putin czy Donald Trump.
- oczerniania wizerunku danej osoby – twarze znanych osób mogą być podstawiane do materiałów kompromitujących, często pornograficznych. W ten sposób internauci tworzyli m.in. fałszywe treści erotyczne z aktorką Scarlett Johansson.
- szantażu – cyberprzestępcy mogą używać twarzy swoich ofiar w kompromitujących nagraniach i żądać opłaty w zamian za nieupublicznienie materiału.
Podszywanie się pod inne osoby
Skrajną formą deep fake może być podszywanie się pod inne osoby w celu np. wyłudzenia danych. Z wykorzystaniem tej technologii cyberprzestępcy mogą np. w rozmowie telefonicznej podać się za prezesa firmy, by nakłonić księgowego do przelania pieniędzy na wskazane konto.
Deep fake może być wykorzystywany w czasie rzeczywistym, np. podczas wideorozmowy. Znany jest przypadek z północnych Chin, w którym oszuści wygenerowali fałszywy obraz przyjaciela swojego rozmówcy i nakłonili go do przelania kwoty o równowartości 2,5 mln złotych, tłumacząc się problemami finansowymi.
Jak się chronić przed oszustwami z wykorzystaniem sztucznej inteligencji?
Rozpoznanie oszustwa polegającego na wykorzystaniu sztucznej inteligencji jest stosunkowo trudne. Warto jednak stosować kilka ogólnych zasad, by zmniejszyć prawdopodobieństwo padnięcia ofiarą cyberprzestępców:
- świadomość występowania takiego zjawiska – warto być świadomym, że taka technologia istnieje i być podejrzliwym w stosunku do treści widzianych w internecie.
- weryfikacja źródła – zawsze warto sprawdzać źródło treści, zwłaszcza przed uznaniem jej za autentyczną.
- zwrócenie uwagi na szczegóły – jeśli coś wydaje się podejrzane lub niestandardowe, warto zaufać swojemu instynktowi. Materiały deep fake często są niedopracowane – rozmazane tło, niezgodność ruchu warg z wypowiadaną kwestią czy nienaturalne oświetlenie tła może wskazywać na manipulację.
- skontaktowanie się z osobą potencjalnie zaangażowaną w deep fake – jeśli ktoś próbuje podszywać się pod znaną nam osobę, warto skontaktować się z nią innymi kanałami, by np. potwierdzić autentyczność rozmowy.
- nieudostępnianie podejrzanych treści – jeśli nie jesteśmy pewni co do autentyczności widzianych treści, pod żadnym pozorem nie warto udostępniać ich innym, np. w mediach społecznościowych.
Nowe sposoby wyłudzania danych i pieniędzy przez oszustów
Ogólna wiedza o możliwościach współczesnych cyberprzestępców to już dużo. Warto jednak przyglądać się także konkrentym przykładom działań, by mieć rękę na pulsie i zachować czujność podczas korzystania z sieci.
QRishing
QRishing, czyli QR Code Phishing, nie jest nowym zjawiskiem, ale rzadko się przed nim ostrzega, a liczba ataków z wykorzystaniem tej metody ostatnio wzrasta. Polega ona na podesłaniu ofierze kodu QR z prośbą o jego zeskanowanie. Zazwyczaj kieruje on na podstawioną stronę, gdzie wyłudzane są poufne dane lub dane kart płatniczych.
Celem takiego ataku stały się m.in. amerykańskie firmy z branży energetycznej. Cyberprzestępcy podsyłali pracownikom wiadomości e-mail z kodem QR i rzekomą prośbą o włączenie dwuetapowej weryfikacji. W rzeczywistości była to podstawiona strona, która zbierała dane dostępowe.
„
QRishing jest skuteczny, bo ostrzega się przed nim znacznie rzadziej, niż chociażby przed fałszywymi linkami i załącznikami wiadomości.
Podobną metodę wykorzystano w Polsce. Oszuści umieścili na parkomatach w Krakowie naklejki z kodami QR, które prowadziły do fałszywej strony płatności. Osoby, które wprowadziły tam swoje dane karty płatniczej, przekazywały je w ręce cyberprzestępców.
Dlaczego QRishing jest skuteczny? Bo ostrzega się przed nim znacznie rzadziej, niż chociażby przed fałszywymi linkami i załącznikami wiadomości. Ponadto nie wszystkie zabezpieczenia antyphishingowe skutecznie wykrywają podejrzane kody QR.
Jak się chronić? Przede wszystkim należy pamiętać, że kod QR, podobnie jak nieznany link, może kierować do fałszywej strony wyłudzającej dane. Wejścia na tego typu podstawione strony mogą być też blokowane przez popularne antywirusy, takie jak AVG Internet Security czy Avast Premium Security. Z tego względu warto z nich korzystać także na urządzeniach mobilnych.
SMS-y o rządowej pomocy dla rodziców
Ostatnio na popularności zyskują też klasyczne kampanie phishingowe nawiązujące do aktualnych wydarzeń w Polsce. Cyberprzestępcy tym razem podszywają się pod strony rządowe, obiecując wsparcie finansowe: „pomoc dla rodziców”, „500+ na nową kadencję” itp. Zaszyte w wiadomościach linki SMS imitują instytucje rządowe, takie jak ZUS czy GOV.pl. Po przejściu na stronę ofiara musi tylko wskazać bank i wprowadzić dane, by rzekomo otrzymać świadczenie. W rzeczywistości przekazuje oszustom dane logowanie do swojego banku, co może prowadzić do utraty pieniędzy.
Oszustwo na eSIM
Klienci działających w Polsce operatorów komórkowych mogą otrzymywać od oszustów fałszywe SMS-y z treścią informującą, że karta eSIM została już im wyrobiona i jeśli nie była przez nich zamawiana, muszą ten fakt zgłosić, klikając w podstawiony link.
W rzeczywistości odnośnik przenosi na fałszywą stronę, na której ofiary proszone są o wprowadzenie danych. W ten sposób udostępniają swoje konto u operatora cyberprzestępcom.
Co oszuści mogą zrobić z takim kontem?
- mają wgląd w dane osobowe ofiary,
- mogą kontrolować, a nawet włączać i wyłączać usługi u operatora,
- mogą wykraść pieniądze z konta,
- mogą kontrolować komunikację ofiary, co otwiera kolejne wektory dalszych ataków.
Sprawdź nasze darmowe poradniki i programy
Tworzenie kopii zapasowych plików – jak skutecznie chronić dane przed cyberprzestępcami?
Samo tworzenie kopii zapasowych nie zagwarantuje bezpieczeństwa newralgicznych danych. Warto stosować kilka dodatkowych zasad, by skutecznie chronić ważne pliki służbowe i prywatne.
- Szyfrowanie kopii zapasowych – to najważniejsze element gwarantujący bezpieczeństwo przechowywanych danych. Niezależnie od tego, czy kopie zapasowe są przechowywane lokalnie czy też w chmurze, powinny być zaszyfrowane. Dzięki temu nawet jeśli dostaną się w niepowołane ręce, nikt bez klucza dostępu nie będzie w stanie ich odszyfrować.
- Przechowywanie w chmurze – korzystanie z kopii zapasowych na dyskach zlokalizowanych w chmurze jest wygodne, ale obarczone wyższym ryzykiem wycieku danych. Z tego względu dane w chmurze zawsze powinny być szyfrowane.
- Regularność tworzenia kopii – kopie zapasowe najważniejszych plików powinny być tworzone regularnie według wcześniej zaplanowanego harmonogramu. Można w tym celu posłużyć się dedykowanym oprogramowaniem do tworzenia kopii zapasowych. Automatyzacja tego procesu pozwala też wyeliminować błędy ludzkie.
- Przechowywanie w odseparowanym środowisku – kopie zapasowe warto przechowywać w odseparowanym środowisku od sieci, w której znajdują się oryginalne dane. To minimalizuje ryzyko zainfekowania kopii zapasowych w przypadku ataku ransomware.
- Kontrola dostępu – warto ograniczyć dostęp do kopii zapasowych do wybranych osób. To zabezpiecza dane przed nieautoryzowanym dostępem.
Sztuczna inteligencja a regulacje europejskie
Obecnie trwają prace nad pierwszymi regulacjami związanymi ze sztuczną inteligencją. 14 czerwca 2023 r. Parlament Europejski przedstawił akt w sprawie sztucznej inteligencji i rozpoczął negocjacje z państwami UE w sprawie jego ostatecznego kształtu. Celem jest osiągnięcie porozumienia do końca roku i przyjęcie ustawy do 2026 roku.
Według projektu ustawy korzystanie z generatywnej sztucznej inteligencji będzie obarczone następującymi wymogami:
- treść będzie musiała być oznaczona jako wygenerowana przez sztuczną inteligencję (deep fake będzie musiał być odpowiednio oznaczony),
- modele sztucznej inteligencji będą musiały być zaprojektowane w taki sposób, aby nie umożliwiały generowania nielegalnych treści,
- autorzy narzędzia będą musieli wskazywać treści objęte prawami autorskimi, na bazie których sztuczna inteligencja była szkolona.
Artykuł przygotowany na zlecenie partnera CORE - polskiego dystrybutora antywirusów Norton, AVAST i AVG. Poznaj AVAST Business Antivirus antywirus dla biznesu. Wysoko oceniany i nagradzany program do pełnej ochrony firmy.
Podobał Ci się ten artykuł?
Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!
[…] Dowiedz się więcej o cyberatakach z wykorzystaniem sztucznej inteligencji […]