Close Menu
    Cyberbezpieczeństwo

    Raport zagrożeń 2025 r. Q4 — Część 1/2

    Brak komentarzy44 Mins Read
    Raport Zagrożeń 2025 Q4

    Nadszedł czas, aby przyjrzeć się bliżej trendom kształtującym krajobraz cyberbezpieczeństwa. Witamy w raporcie Gen Q4 2025 Threat Report. W czwartym kwartale zablokowaliśmy 1,43 miliarda ataków, a nasz globalny wskaźnik ryzyka wzrósł o 17,6% w ujęciu kwartalnym.

    Część pierwsza | Część druga

    Spis treści

    Wstęp

    Jeśli w tym kwartale spędziłeś choć trochę czasu w sieci, ten schemat będzie Ci znany. Otwierasz przeglądarkę, żeby coś sprawdzić. Przyjdzie wiadomość od znajomego. Aplikacja bankowa lub płatnicza poprosi Cię o potwierdzenie drobnej sprawy. Gdzieś w tym strumieniu informacji jest link do kliknięcia, kod QR do zeskanowania, prośba o zatwierdzenie połączenia lub kod do wpisania. To, co wygląda jak zwykły cyfrowy szum, często jest przygotowaniem do oszustwa.

    Środek ciężkości nie przesunął się z dala od ludzi. Rozprzestrzenił się on na miejsca, w których spędzają oni swoje cyfrowe życie: przeglądarki, czaty i aplikacje finansowe. To, co zmieniło się w tym kwartale, to częstotliwość, z jaką ta drobna, rutynowa czynność jest oszustwem. Atak nie następuje już później. Ma miejsce w momencie, gdy drzwi zostają po cichu otwarte. Obserwujemy również więcej kampanii, które działają tylko wtedy, gdy ofiara sama wykona „techniczny” krok. Fałszywe samouczki i strony pobierania przekonują użytkowników do pobrania i uruchomienia złośliwego oprogramowania. Łączenie urządzeń nakłania ludzi do dodania przeglądarki atakującego jako zaufanego partnera do swojej aplikacji do przesyłania wiadomości. Ekrany weryfikacyjne po cichu zamieniają się w procesy parowania, które odzwierciedlają rozmowy i kontakty. Programy wykradające dane, oprogramowanie szpiegujące i inne klasyczne zagrożenia nadal istnieją, ale niektóre z najbardziej szkodliwych incydentów zaczynają się od czegoś, co wygląda jak nieszkodliwe okno dialogowe potwierdzenia.

    Sztuczna inteligencja leży u podstaw wielu z tych zjawisk, zazwyczaj bez wymieniania jej nazwy. Stoi za płynnymi, lokalnymi czatami w sklonowanych profilach Steam, które brzmią dokładnie jak prawdziwy przyjaciel. Potrafi również przekształcić zaledwie kilka sekund nagrania audio w wiarygodne wezwanie pomocy od krewnego. Pozwala małym grupom tworzyć przekonujące filmy, które wyglądają jak porady inwestycyjne, konkursy z nagrodami lub prośby o wsparcie charytatywne, i umieszczać je w tych samych kanałach, którym ludzie już ufają w zakresie rozrywki i wiadomości. W bardziej ekstremalnych przypadkach widzieliśmy podmioty wspierane przez państwo, wykorzystujące systemy AI do obsługi znacznej części prac rozpoznawczych i tworzenia skryptów podczas włamań, a także eksperymentalne złośliwe oprogramowanie, które pyta model, jak się przepisać za każdym razem, gdy jest uruchamiane. Po stronie obronnej sztuczna inteligencja jest równie obecna w naszym własnym stosie zabezpieczeń, od wykrywania dziwnych ścieżek logowania po oznaczanie oszukańczych filmów podczas odtwarzania, ale nadal istnieje luka między tym, co technologia bezpieczeństwa może zobaczyć, a tym, co ludzie uważają, że są w stanie zrozumieć.

    Prywatność i tożsamość nadal stanowią długoterminowe źródło nadużyć. Podatność w wyszukiwaniu numerów w WhatsApp ujawniła, jak łatwo było przyporządkować miliardy numerów telefonów do aktywnych kont, zanim problem został naprawiony. Dostawca wsparcia dla popularnej platformy czatowej ujawnił dziesiątki tysięcy zdjęć z dokumentów tożsamości zebranych w celu weryfikacji wieku. Brokerzy danych rozdawali „próbki”, które ujawniały dokładne codzienne przemieszczanie się europejskich urzędników, łatwo powiązane z miejscami zamieszkania i pracy. Szyfrowanie typu end-to-end jest niezbędne, ale nie może zapewnić ochrony, gdy oprogramowanie szpiegujące przejmie kontrolę nad samym urządzeniem. Kampania Landfall ponownie pokazała, że naruszenie bezpieczeństwa punktów końcowych omija obietnice dotyczące prywatności złożone na poziomie sieci. Zarówno w naszych własnych alertach dotyczących tożsamości, jak i w badaniach zewnętrznych, wzorzec jest spójny. Naruszenia, wycieki i sprzedaż danych rzadko kończą się jednym e-mailem z powiadomieniem. Zamiast tego powracają miesiące później w postaci przejęć kont, fałszywych profesjonalistów, syntetycznych tożsamości oraz długich i trudnych cykli odzyskiwania danych.

    Zagrożenia finansowe są obecnie widoczne niemal za każdym razem, gdy ludzie podejmują codzienne decyzje finansowe. Pojawiają się, gdy ktoś otwiera nowe konto, przekazuje napiwek twórcy, opłaca rachunek lub reaguje na SMS-a, który wygląda, jakby pochodził z jego banku. Skradzione dane tożsamości są wykorzystywane do podszywania się pod „idealnych” nowych klientów ubiegających się o pożyczki. Funkcje płatnicze zaprojektowane z myślą o wygodzie, takie jak napiwki i korekty po rozliczeniu, są wykorzystywane do przekształcania transakcji o wartości jednego dolara w obciążenia rzędu pięciu cyfr. Mikrotransakcje w grach i aplikacjach społecznościowych są coraz częściej wykorzystywane do oszustw związanych z obciążeniami zwrotnymi i zwrotami, w których atakujący odzyskują nieautoryzowane zakupy po tym, jak towary cyfrowe zostały już wydane lub przekazane, przenosząc stratę na platformy i sprzedawców. Staromodny phishing SMS-owy, ulepszony dzięki lepszemu językowi i bardziej przekonującym przynętom, nadal powoduje jedne z największych bezpośrednich strat, gdy przekonuje ludzi do przekazania jednorazowych kodów, które omijają niemal wszystkie inne zabezpieczenia.

    Podsumowując rok 2025, najbardziej uderzające zmiany, jakie obserwujemy, nie dotyczą już zupełnie nowych rodzajów złośliwego oprogramowania, ale tego, jak ściśle ataki są wplecione w każdą nić naszych codziennych cyfrowych rutynowych czynności. Przeglądarki, SMS-y, aplikacje do czatowania, media społecznościowe oraz narzędzia, których ludzie używają do zarządzania swoimi finansami, tworzą obecnie jedną ciągłą powierzchnię, na której krzyżują się zaufanie, tożsamość, prywatność i finanse. Atakujący wykorzystują tę ciągłość, znane marki i interfejsy, a następnie dodają automatyzację i sztuczną inteligencję, aby dotrzeć do większej liczby osób przy mniejszym wysiłku i mniejszym hałasie.

    Naszym zadaniem i celem niniejszego raportu jest wczesne wykrywanie tych wzorców, mierzenie ich ewolucji z kwartału na kwartał oraz dostosowywanie zabezpieczeń do tych drobnych momentów, w których ludzie faktycznie dokonują tych wyborów. Dziękuję za poświęcenie czasu na przeczytanie tego raportu i mam nadzieję, że się Państwu spodoba.

    Luis Corrons, ewangelista bezpieczeństwa (znany również jako „Threat Whisperer”)

    Najważniejsze informacje dotyczące zagrożeń: IV kwartał 2025 r.

    Zagrożenia bezpieczeństwa i oszustwa

    W czwartym kwartale obserwowaliśmy ten sam podstawowy wzorzec, co na początku roku: większość dzisiejszych ataków nie polega na wykorzystaniu egzotycznych luk w zabezpieczeniach, ale na skłonieniu ludzi do obniżenia własnej czujności. W ostatnim kwartale zmieniła się liczba skryptów, które przeskakiwały między urządzeniami i kanałami. Zaczynało się w przeglądarce, kontynuowano na telefonie, a potem może nawet trafiało bezpośrednio do kalendarza zamiast do skrzynki odbiorczej. Równolegle mobilne oprogramowanie szpiegowskie i wymuszenia na przedsiębiorstwach ewoluowały pod presją organów ścigania i spadających płatności okupu, podczas gdy platformy i oprogramowanie biznesowe pozostawały bardzo dochodowym polem do oszustw.

    Ataki typu „Scam-Yourself”

    Wzorzec „Scam-Yourself”, który podkreślaliśmy w poprzednich kwartałach, jest nadal bardzo żywy, a obecnie obejmuje bardziej przejrzyste i ukierunkowane kampanie, które łatwo dostrzec w naszych danych. W listopadzie pojedyncza domena z „fałszywym samouczkiem” spowodowała gwałtowny wzrost wykryć typu „Scam-Yourself”. Przynęta jest znana: użytkownicy szukają porad lub złamanych programów i trafiają na stronę, która udaje, że przeprowadzi ich przez instalację. Zaskakujące jest to, że instrukcje wyraźnie proszą o „zeskanowanie” ekranu aparatem telefonu, aby kontynuować, przenosząc drugą połowę łańcucha ataku na urządzenia mobilne, gdzie użytkownicy są bardziej skłonni do udzielania dodatkowych uprawnień lub instalowania aplikacji z innych źródeł. Oddzielna kampania w tym samym okresie, ponownie zdominowana przez jedną domenę, wykorzystywała podobne taktyki, aby zwabić ludzi do fałszywych aplikacji inwestycyjnych na urządzenia mobilne. W obu przypadkach przestępcy nie walczą z modelem bezpieczeństwa; przekonują użytkowników, aby przenieśli ładunek złośliwy przez granice urządzeń w ich imieniu.

    Nowa granica: oszustwa związane z zaproszeniami do kalendarza

    Zauważyliśmy również, że klasyczne oszustwa związane z pomocą techniczną pojawiły się w nowej odsłonie: zaproszenia do kalendarza. W tym oszustwie, zamiast wiadomości spamowej, ofiary otrzymują nieoczekiwane wydarzenie w kalendarzu, które twierdzi, że subskrypcja produktu zabezpieczającego została właśnie odnowiona za setki dolarów i zawiera numer telefonu „do pomocy technicznej”. W naszych danych telemetrycznych w ciągu jednego miesiąca zablokowano dziesiątki tysięcy takich zaproszeń. Kiedy nasi testerzy zadzwonili pod jeden z numerów, scenariusz przebiegał tak samo, jak to obserwowaliśmy od lat w przypadku oszustw związanych z telefonicznym wsparciem technicznym: agent potwierdził fałszywy koszt, nalegał na zdalny dostęp w celu „naprawienia” problemu i przeprowadził ofiarę przez proces instalacji narzędzia do zdalnego dostępu, takiego jak AnyDesk. Marka była niemal przypadkowa. Podczas jednej rozmowy w kalendarzu pojawiła się wzmianka o Norton, podczas gdy oszust mówił o „Twojej subskrypcji McAfee”. Szczegóły mogą się zmieniać, jednak podstawowy scenariusz pozostaje niezmienny: jak najszybsze skierowanie rozmowy na temat zdalnego sterowania i danych finansowych.

    Zagrożenia mobilne

    W przypadku urządzeń mobilnych oprogramowanie szpiegujące nadal wykazywało tendencję wzrostową w pierwszej połowie IV kwartału i stało się bardziej inwazyjne.

    Dwie rodziny oprogramowania szpiegującego dla systemu Android, Tambir i SpyMax, zdominowały nasze wykrycia w czwartym kwartale, osiągając wyraźny szczyt w listopadzie. SpyMax, często podszywający się pod legalne aplikacje, takie jak Chrome czy Netflix, żądał uprawnień sieciowych i do instalacji pakietów, a następnie wykorzystywał je do cichej instalacji dodatkowych komponentów z pełnymi możliwościami szpiegowania i monitorowania. Skutki były globalne, ale niejednolite, z ogniskami w krajach takich jak Maroko, Jemen, Azerbejdżan, Portugalia i Turcja. W ramach jednej z bardziej wyrafinowanych kampanii szpiegowskich w tym kwartale badacze odkryli nową rodzinę komercyjnego oprogramowania szpiegującego dla systemu Android o nazwie Landfall. Oprogramowanie to wykorzystywało lukę typu zero-day w bibliotece przetwarzania obrazów firmy Samsung (CVE-2025-21042), która pozwalała atakującym przejąć kontrolę nad urządzeniami Galaxy za pomocą złośliwych plików graficznych, w tym plików wysyłanych za pośrednictwem aplikacji takich jak WhatsApp. W tej skali zaufanie danej osoby staje się częścią powierzchni ataku. Chociaż szyfrowanie chroni dane w trakcie przesyłania, nie jest w stanie obronić urządzenia, które zostało już przejęte.

    Dlaczego atakujący wykorzystują zaufane aplikacje do przesyłania wiadomości i inżynierii społecznej

    Luka została szybko dodana do katalogu znanych wykorzystywanych luk CISA i załatana, ale podkreśla to, jak aplikacje do przesyłania wiadomości i multimediów są obecnie zarówno kanałami inżynierii społecznej, jak i mechanizmami dostarczania exploitów.

    Wskaźnik ryzyka związanego z oprogramowaniem szpiegującym na Androidzie w listopadzie 2025 r.

    Wzrosła również presja ekonomiczna i prawna wokół oprogramowania szpiegującego. Firma Apple podwoiła swoją najwyższą nagrodę w programie bug bounty do 2 milionów dolarów za łańcuchy exploitów, które umożliwiają dostęp na poziomie oprogramowania szpiegującego typu mercenary, z premiami, które mogą podnieść łączną kwotę nagrody powyżej 5 milionów. Równolegle sąd w USA wydał stały nakaz zakazujący firmie NSO Group atakowania użytkowników WhatsApp za pomocą oprogramowania szpiegującego, po uznaniu firmy za odpowiedzialną za włamanie do setek kont, choć znacznie obniżył wcześniej zasądzone odszkodowanie. W połączeniu z sprawą Landfall i naszymi własnymi danymi telemetrycznymi dotyczącymi oprogramowania szpiegującego obraz jest jasny: telefony są obecnie głównym celem inwigilacji zarówno w codziennych kampaniach typu stalkerware, jak i w działaniach podmiotów dysponujących znacznymi zasobami, a wartość rynkowa mobilnych luk typu zero-day odpowiednio wzrosła.

    Oprogramowanie ransomware

    Oprogramowanie ransomware i wymuszenia pozostawały aktywne, ale wykazywały oznaki osłabienia. Po stronie konsumentów liczba wykrytych przypadków oprogramowania ransomware w naszych danych telemetrycznych spadła o 6,8% rok do roku w 2025 r., utrzymując się znacznie poniżej podwyższonych poziomów, które obserwowaliśmy podczas szczytów spowodowanych przez Magniber, które rozpoczęły się w 2024 r. i utrzymywały się do tego lata, kiedy to kampania została zatrzymana. Nadal obserwowaliśmy mniejsze, bardziej ukierunkowane incydenty, w tym nowe próbki oprogramowania ransomware z rodziny Trinity atakujące małe i średnie przedsiębiorstwa, ale nie odnotowaliśmy powszechnego powrotu masowo rozprzestrzeniających się programów typu ransomware locker.

    Zewnętrzne dane dotyczące reagowania na incydenty wskazują na ten sam trend. Firma Coveware poinformowała, że w trzecim kwartale 2025 r. tylko około 23% ofiar oprogramowania ransomware uiściło opłatę, co stanowi historyczne minimum, przy czym średnia i mediana płatności spadły o około dwie trzecie w porównaniu z poprzednim kwartałem, ponieważ duże przedsiębiorstwa coraz częściej odmawiają płacenia, a firmy średniej wielkości negocjują mniejsze kwoty. Firma Chainalysis, analizując przepływy w łańcuchu bloków, oszacowała, że globalne płatności związane z oprogramowaniem ransomware w 2024 r. spadły z 1,25 mld dolarów do około 813 mln, co stanowi spadek o około jedną trzecią w ujęciu rok do roku, co jest dowodem na to, że zarówno konsumenci, jak i przedsiębiorstwa stają się coraz bardziej świadomi tego, jak radzić sobie z wymuszeniami związanymi z oprogramowaniem ransomware. Podsumowując, sugeruje to, że tradycyjny model „szyfruj i wymuszaj” znajduje się pod realną presją, mimo że liczba grup i stron z wyciekami pozostaje wysoka.

    Programy wykradające dane, luki w zabezpieczeniach i inne exploity

    Presja organów ścigania przeniosła się również na infrastrukturę przestępczej oprogramowania. W listopadzie w ramach skoordynowanej międzynarodowej akcji „Operation Endgame” zakłócono działanie infrastruktury wykorzystywanej przez programy wykradające dane, takie jak Rhadamanthys, VenomRAT i Elysium, wyłączając z sieci dużą liczbę serwerów i kilka domen.

    W naszych danych telemetrycznych liczba wykryć Rhadamanthys gwałtownie spadła po połowie listopada i pozostawała na niskim poziomie przez resztę kwartału. Jest to rzadki przypadek, w którym publiczne wyłączenie serwerów zbiega się z wyraźnym i trwałym spadkiem aktywności konkretnej rodziny zagrożeń.

    Szerszy ekosystem programów wykradających dane nie zniknął jednak. Inne rodziny programów wykradających dane nadal działały. Warto się nad tym zastanowić: czy tak głośne zakłócenia znacząco zmieniają zachowanie atakujących w dłuższej perspektywie, czy też po prostu tworzą przestrzeń dla pojawienia się kolejnej marki złośliwego oprogramowania jako usługi?

    Wskaźnik ryzyka w odniesieniu do programu wykradającego dane Rhadamanthys

    Jedną ze zmian strukturalnych, która miała miejsce w tle w czwartym kwartale, jest zbliżający się koniec wsparcia dla systemu Windows 10, co spowoduje, że miliony nadal aktywnych komputerów pozostaną na coraz bardziej nieaktualnym systemie operacyjnym. Ta długa lista urządzeń bez wsparcia sprawia, że starsze łańcuchy exploitów pozostają opłacalne, a starsze wersje systemu Windows stają się stałym zbiorem łatwych celów – od partnerów zajmujących się oprogramowaniem ransomware i hodowców botnetów po operatorów programów wykradających dane.

    W świecie wymuszeń w tym kwartale grupa Cl0p i inni aktorzy przeprowadzili zakrojone na szeroką skalę kampanie wymuszeń przeciwko organizacjom korzystającym z Oracle E-Business Suite, wykorzystując krytyczną lukę umożliwiającą zdalne wykonanie kodu bez uwierzytelniania, CVE-2025-61882, w celu włamania się do instancji podłączonych do Internetu i wykradzenia danych. Ofiarami padły m.in. uniwersytety, linie lotnicze, placówki służby zdrowia i media, z których wiele odkryło naruszenie dopiero po otrzymaniu e-maili z żądaniem okupu lub zauważeniu swoich danych na stronach ujawniających wycieki. Z kolei kolektyw Scattered Lapsus$ Hunters ogłosił, że wykradł ponad miliard rekordów klientów z firm korzystających z Salesforce, i opublikował próbki powiązane z przedsiębiorstwami z takich sektorów jak ubezpieczenia, linie lotnicze i agencje informacji kredytowej. W obu przypadkach schemat działania jest podobny: zamiast szyfrować punkty końcowe, atakujący szukają centralnych platform biznesowych, wykorzystują pojedynczy punkt awarii, a następnie traktują skradzione dane jako główny środek wymuszania okupu.

    Oszustwa

    Na koniec, co nie mniej ważne, oszustwa nadal zyskiwały na skali, wykorzystując popularne platformy i zaufaną infrastrukturę. Ogólnie rzecz biorąc, oszustwa pozostają głównym problemem dla cyberbezpieczeństwa konsumentów. W 2025 r. średnio co sekundę blokowano 41 oszustw.

    W naszej analizie oszustw pochodzących z platform społecznościowych w IV kwartale wyróżnia się jeden motyw: koncentracja. Sam Facebook odpowiada za 78,04% zablokowanych oszustw pochodzących z mediów społecznościowych na komputerach stacjonarnych. W połączeniu z YouTube odsetek ten wzrasta do 95,71%. Mówiąc wprost, zdecydowana większość ryzykownych kliknięć związanych z oszustwami ma swój początek w zaledwie dwóch miejscach: w kanale społecznościowym i pętli wideo.

    Drugim charakterystycznym wzorcem jest to, do czego te kliknięcia mają służyć. W czwartym kwartale oszustwa związane ze sklepami internetowymi dominowały, stanowiąc 65,4% zablokowanych oszustw pochodzących z mediów społecznościowych. Na drugim miejscu znalazło się phishing (15,09%), a następnie oszustwa ogólne (7,58%), oszustwa związane z pomocą techniczną (6,28%), oszustwa matrymonialne (3,45%) i oszustwa finansowe (2,12%).

    Każdy rodzaj oszustwa ma również swój własny „odcisk palca platformy”. Na przykład oszustwa związane z pomocą techniczną są prawie w całości napędzane przez Facebooka (99,25%), podczas gdy phishing rozprzestrzenia się szerzej na Facebooku (77,34%), YouTube (13,66%) i Reddicie (3,94%).

    Gdzie zaczyna się kliknięcie w oszustwo (platformy)

    1. Facebook, 78,04%
    2. YouTube, 17,67%
    3. Instagram, 2,16%
    4. Reddit, 0,65%
    5. X, 0,60%
    6. TikTok, 0,38%

    Cel oszustwa (rodzaje)

    1. Oszustwa w sklepach internetowych, 65,40%
    2. Phishing, 15,09%
    3. Oszustwa ogólne, 7,58%
    4. Oszustwa związane z pomocą techniczną, 6,28%
    5. Oszustwa randkowe, 3,46%
    6. Oszustwa finansowe, 2,12%

    Nasze dane telemetryczne wykazały również znaczny wzrost oszustw w sklepach internetowych w czwartym kwartale, zarówno na komputerach stacjonarnych, jak i urządzeniach mobilnych. W rzeczywistości około połowa wszystkich zablokowanych oszustw w sklepach internetowych, które odnotowaliśmy w 2025 r., miała miejsce w czwartym kwartale, co odzwierciedla gwałtowny wzrost liczby zablokowanych fałszywych sklepów. Dane te nie są zaskakujące, biorąc pod uwagę okres świąteczny oraz publiczne doniesienia wskazujące, że firma Meta osiągnęła około 10 procent swoich rocznych przychodów w 2024 roku, czyli około 16 miliardów dolarów, dzięki fałszywym reklamom i zablokowanym ofertom produktów, zgodnie z dokumentami wewnętrznymi omawianymi w ostatnich dochodzeniach. Doniesienia te opisują miliardy reklam związanych z oszustwami dziennie, przy czym niektóre systemy wewnętrzne oceniają reklamy jako wysoce prawdopodobne oszustwa, a mimo to pozwalają na ich wyświetlanie. Dla zwykłych użytkowników rozróżnienie między „platformą reklamową” a „systemem dostarczania oszustw” staje się coraz bardziej akademickie. Jeśli chodzi o łańcuch dostaw, odkrycie złośliwego oprogramowania ShaiHulud v2 w pakietach npm potwierdziło, jak popularne ekosystemy programistów mogą być nadużywane do wprowadzania programów kradnących dane i backdoorów do tysięcy środowisk kompilacji przy minimalnym oporze.

    Wskaźnik ryzyka oszustw w sklepach internetowych w październiku 2025 r. na komputerach stacjonarnych

    Krótko mówiąc, zagrożenia bezpieczeństwa i oszustwa w czwartym kwartale dotyczyły w mniejszym stopniu zupełnie nowych rodzin złośliwego oprogramowania, a w większym – ponownego wykorzystania sprawdzonych skryptów i metod w nowych kanałach: fałszywych samouczków, które przenoszą się z ekranu na telefon, oszustw związanych z pomocą techniczną, które trafiają do kalendarzy zamiast do skrzynek odbiorczych, oprogramowania szpiegującego ukrytego w plikach graficznych oraz grup wymuszających okup, które pomijają szyfrowanie i przechodzą od razu do danych. Akcje organów ścigania i spadające płatności okupu mają wyraźny wpływ; szerszy zakres przestępczości, od schematów typu „Scam-Yourself” po oszustwa na skalę platform i ataki na aplikacje korporacyjne, pozostaje bardzo aktywny i nadal ewoluuje.

    Ataki i zabezpieczenia oparte na sztucznej inteligencji

    W przypadku niemal wszystkich rodzajów zagrożeń, które monitorowaliśmy w tym kwartale, sztuczna inteligencja przestała być tematem pobocznym i stała się częścią domyślnego tła zarówno dla atakujących, jak i dla obrońców. Zaobserwowaliśmy trzy wyraźne zmiany: 1. Sprawcy zagrożeń zaczynają traktować exploity LLM i „agentowe” przepływy pracy jako zwykłe narzędzia, 2. Oszustwa oparte na inżynierii społecznej są ulepszane dzięki głosom, twarzom i skryptom generowanym przez AI oraz 3. Po stronie obrony zarówno dostawcy platform, jak i producenci oprogramowania zabezpieczającego prześcigają się w tworzeniu zabezpieczeń natywnych dla AI.

    Po stronie ofensywnej nadużywanie LLM przechodzi z fazy eksperymentów do realnej gospodarki. Ostatnie badania dotyczące czarnych rynków LLM opisują sprzedawców oferujących pakiety poleceń do jailbreakowania, receptury na wstrzykiwanie poleceń oraz dostęp do wyciekłych modeli lub skradzionych kluczy API, spakowane podobnie jak zestawy exploitów lub narzędzia do tworzenia złośliwego oprogramowania. Zamiast wymyślać własne metody jailbreakowania, przestępcy mogą teraz kupować polecenia, które działają na najpopularniejszych modelach, i wplatać je w frameworki phishingowe, boty oszukańcze lub niestandardowe narzędzia.

    Najbardziej widoczny skok w nadużyciach AI w czwartym kwartale nastąpił w przestrzeni państwowej. Anthropic ujawniło, że grupa powiązana z Chinami złamała zabezpieczenia modelu Claude Code i wykorzystała go do przeprowadzenia wieloetapowej kampanii szpiegowskiej przeciwko około trzydziestu organizacjom, w tym podmiotom finansowym i rządowym. Według Anthropic sztuczna inteligencja obsługiwała około osiemdziesiąt do dziewięćdziesiąt procent procesu, od rozpoznania i generowania kodu po analizę logów i przygotowywanie danych, podczas gdy ludzie głównie zatwierdzali kroki i korygowali błędy. Nie jest to już sytuacja typu „sztuczna inteligencja pomogła mi napisać złośliwe oprogramowanie”; jest to sztuczna inteligencja działająca jako młodszy operator w całej kampanii.

    Grupa ds. analizy zagrożeń firmy Google zgłosiła coś podobnego na poziomie narzędzi. Jej AI Threat Tracker dokumentuje eksperymentalne złośliwe oprogramowanie, takie jak PROMPTFLUX i PROMPTSTEAL, czyli droppery, które w czasie wykonywania wywołują model LLM w celu przepisania własnego skryptu Visual Basic, zmiany zaciemnienia kodu i dostosowania mechanizmów unikania wykrycia w locie. Zamiast dostarczać statyczny ładunek, atakujący dostarczają szablon, który pyta model AI, jak się zmienić przy każdym uruchomieniu. Odpowiada to wzorcowi samomodyfikacji „just in time”, który podkreślaliśmy w poprzednich kwartałach, ale teraz w kodzie, który faktycznie działa na komputerach ofiar.

    Systemy operacyjne stają się również bardziej „agentowe”, co otwiera nowy front. Nowe funkcje obszaru roboczego agenta firmy Microsoft dla systemu Windows 11 zostały zaprojektowane tak, aby asystenci AI mogli wykonywać zadania dla użytkownika, korzystając z własnego pulpitu, konta lokalnego i dostępu do folderów, takich jak Dokumenty, Pobrane i Pulpit, gdy są włączone. W swoich wytycznych dotyczących bezpieczeństwa Microsoft ostrzega, że agenci ci wprowadzają nowe zagrożenia, takie jak cross-prompt injection, gdzie złośliwa zawartość osadzona w dokumencie lub interfejsie użytkownika może zastąpić instrukcje agenta i wywołać wyciek danych lub instalację oprogramowania. Na razie funkcje te są domyślnie wyłączone i ograniczone do wersji zapoznawczych, ale kierunek jest jasny. Jeśli pozwolisz agentowi AI działać wewnątrz systemu operacyjnego, wszystko, co może nim sterować, staje się częścią powierzchni ataku.

    Tam, gdzie sztuczna inteligencja ma bezpośredni kontakt z ludźmi, główna zmiana dotyczy inżynierii społecznej, która już w 2025 r. stanowiła ponad 90% wszystkich zablokowanych ataków. Klonowanie głosu zmieniło już „oszustwa na dziadków” i oszustwa związane z nagłymi wypadkami w rodzinie. Policja w Kanadzie, między innymi, ostrzegła przed wzrostem liczby przypadków, w których przestępcy wykorzystują kilka sekund nagrania z mediów społecznościowych lub poczty głosowej, aby wygenerować przekonującą kopię głosu krewnego, połączyć ją ze scenariuszem wypadku lub porwania i wywrzeć presję na ofiary, aby dokonały pilnych przelewów. W naszym artykule Miłość z prędkością maszyny przyglądamy się bliżej temu szerszemu zjawisku. Sztuczna inteligencja sprawia, że oszustwa matrymonialne i kampanie sekstorsji wydają się prawdziwymi związkami, z spójnymi zdjęciami, notatkami głosowymi, krótkimi filmikami, a nawet dokumentami, które wydają się w pełni autentyczne. Oszustwo nie musi być językowo genialne; musi po prostu wydawać się spójne i dostosowane emocjonalnie, a następnie przechodzić do próśb o pieniądze, procedur „weryfikacyjnych” lub intymnej wymiany, którą można przekształcić w wymuszenie.

    Widzimy również mniejsze, bardziej osobiste wersje tych emocjonalnych, relacyjnych oszustw na platformach gier. Na przykład na Steamie zaobserwowaliśmy fale zaproszeń do grona znajomych z klonowanych lub podobnych kont, które odzwierciedlają prawdziwe kontakty, a następnie płynne, zlokalizowane wiadomości na czacie, które wyraźnie mają „charakter” LLM. Celem nie jest zaimponowanie komukolwiek umiejętnościami językowymi. Chodzi o to, by zmniejszyć podejrzliwość w Twoim ojczystym języku, a następnie skierować rozmowę w stronę linków poza platformą, prezentów lub „okazji” handlowych.

    Nasz artykuł Jak AI spersonalizowała oszustwa wideo, jeden widz po drugim przygląda się tej samej tendencji z perspektywy wideo. W 2025 roku YouTube i inne platformy stały się stałym elementem czasu spędzanego przed telewizorem w salonie, a nie tylko nawykiem związanym z telefonem, a silniki rekomendacji wideo kształtują obecnie dużą część tego, co ludzie oglądają. Właśnie ta zmiana jest powodem, dla którego stworzyliśmy Deepfake Protection, skupiając się na punkcie styku zmanipulowanych mediów i zamiaru oszustwa, wykorzystując sygnały multimodalne z samego klipu (w tym wskaźniki sklonowanego lub mocno edytowanego dźwięku) oraz wskazówki kontekstowe, takie jak prośby o pieniądze, scenariusze sugerujące pilność oraz przekierowania poza platformę. Wstępne dane telemetryczne pokazują, że większość zablokowanych filmów oszukańczych opartych na AI skupia się na kilku głównych platformach, z YouTube na czele pod względem udziału w blokadach, a Facebook i X tuż za nim. Większość z nich to nie spektakularne, wirusowe deepfake’i. Są to zwyczajnie wyglądające klipy, często ze sklonowanym lub mocno edytowanym dźwiękiem, powiązane z finansowymi i kryptowalutowymi przynętami. Dlatego w artykule argumentujemy, że sama sztuczna inteligencja w klipie nie jest sygnałem ryzyka; znaczącym sygnałem jest połączenie sztucznej inteligencji z prośbą o pieniądze, przekazaniem poza platformę lub scenariuszem wywierającym presję czasową.

    Sztuczna inteligencja pojawia się również w kontekście przejmowania kont. W The code that steals your WhatsApp śledzimy schemat nadużycia polegającego na łączeniu urządzeń – nazywamy go GhostPairing – w którym prosta wiadomość „Znalazłem twoje zdjęcie” zwabia ofiary na fałszywą stronę logowania, która wykorzystuje własny proces parowania WhatsApp do dodania przeglądarki atakującego jako urządzenia-ducha na koncie. Podstawową sztuczką jest czysta inżynieria społeczna oparta na legalnej funkcji; jednak konsekwencje pokrywają się z naszymi obawami dotyczącymi sztucznej inteligencji. Gdy konto WhatsApp zostanie po cichu skopiowane, atakujący mogą czytać prywatne czaty, dowiedzieć się, które kontakty są najbardziej zaufane, oraz zebrać notatki głosowe i zdjęcia, które później można wykorzystać w narzędziach do klonowania głosu i tworzenia mediów syntetycznych. Sam atak nie jest „złośliwym oprogramowaniem AI”, ale tworzy surowiec, który później zostanie wykorzystany przez oszustwa oparte na sztucznej inteligencji.

    Poza relacjami osobistymi i komunikacją, sztuczna inteligencja jest również wykorzystywana do podszywania się pod profesjonalistów i instytucje. Raport Bureau of Investigative Journalism ujawnił dziesiątki ofert na platformie Fiverr, gdzie oszuści podszywali się pod prawdziwych brytyjskich adwokatów, kradnąc nazwiska i numery rejestracyjne z Solicitors Regulation Authority i łącząc je z wygenerowanymi przez AI zdjęciami oraz szablonowymi tekstami. Profile te reklamowały usługi prawne, a w niektórych przypadkach chwaliły się wykorzystaniem sztucznej inteligencji do sporządzania umów. Ten sam schemat można łatwo przenieść na inne role, takie jak doradcy inwestycyjni czy „pracownicy zdalni”. Celowo omówiliśmy te tematy bardziej szczegółowo w sekcji Zaufanie i tożsamość, ale pasują one również do obrazu sztucznej inteligencji.

    Tymczasem obrońcy dostosowują się, choć nie zawsze tak szybko jak atakujący. Jeśli chodzi o platformy, firmy Anthropic, Google i Microsoft traktują nadużywanie sztucznej inteligencji jako problem bezpieczeństwa, a nie tylko kwestię polityki. Przerwanie przez firmę Anthropic kampanii szpiegowskiej opartej na Claude’u bezpośrednio przyczyniło się do wprowadzenia nowych mechanizmów monitorowania i zabezpieczeń przed podobnymi nadużyciami. Narzędzie AI Threat Tracker firmy Google tworzy publiczny katalog pokazujący, w jaki sposób podmioty wspierane przez państwo i kierujące się motywami finansowymi wykorzystują sztuczną inteligencję na etapach rozpoznania, eksploatacji i działań po przejęciu kontroli. Wytyczne firmy Microsoft dotyczące bezpieczeństwa agentowego, choć wciąż ewoluują, przynajmniej wskazują wstrzykiwanie międzypromptowe i powstrzymywanie agentów jako podstawowe problemy projektowe ekosystemu Windows.

    W naszym własnym stosie zabezpieczeń sztuczna inteligencja działa po obu stronach linii. Ta sama technologia, która pomaga przestępcom lokalizować skrypty i industrializować przynęty, pomaga również naszym zabezpieczeniom wykrywać subtelne kombinacje sygnałów, które mają sens tylko w kontekście, a nie jako pojedyncze reguły oparte na słowach kluczowych. Obejmuje to procesy logowania i łączenia urządzeń, które odbiegają od uzasadnionych wzorców, procesy płatności, które wykazują charakterystyczne punkty tarcia i oznaki wymuszenia, oraz materiały wideo lub audio, które łączą dopracowaną, brzmiącą syntetycznie narrację z agresywnymi ofertami finansowymi i przekazywaniem spraw poza platformę. W czwartym kwartale, na urządzeniach, na których włączona była nasza funkcja wykrywania oszustw wideo, wykryliśmy 159 378 unikalnych przypadków oszukańczych filmów deepfake, które pasowały do tego połączenia zmanipulowanych mediów i zamiaru oszustwa. Trzy historie przedstawione w tym raporcie to studia przypadków pokazujące, jak to wygląda w rzeczywistości: media w stylu deepfake wplecione w oszustwa finansowe, skrypty romansów i sekstorcji koordynowane przez AI oraz przejęcia kont komunikacyjnych, które po cichu gromadzą surowiec do przyszłego nadużycia AI.

    Wspólnym mianownikiem większości badań nad sztuczną inteligencją jest to, że stała się ona częścią standardowego zestawu narzędzi, a nie efektem specjalnym. Niektóre kampanie, takie jak przypadek Anthropic i PROMPTFLUX, wykorzystują sztuczną inteligencję wewnątrz złośliwego oprogramowania i łańcucha poleceń. Inne, takie jak oszustwa wideo oparte na sztucznej inteligencji, oszustwa matrymonialne i GhostPairing, wykorzystują sztuczną inteligencję do kształtowania tego, co ofiary widzą i słyszą. Jeśli chodzi o obronę, zarówno dostawcy usług w chmurze, jak i rozwiązania do ochrony punktów końcowych zaczynają reagować w podobny sposób. Dla osób i organizacji praktyczna zasada jest prosta. Każde narzędzie, które może działać w Twoim imieniu lub silnie kształtować to, co widzisz i słyszysz, zasługuje teraz na taką samą ostrożność jak aplikacja o wysokich uprawnieniach: mniejszy dostęp, wyraźna zgoda na wrażliwe działania oraz zdrowe podejrzenie wobec każdej prośby sformułowanej przez sztuczną inteligencję, która próbuje przenieść pieniądze, dane lub zaufanie na harmonogram kogoś innego.

    Prywatność

    W tym kwartale pokazało się też, jak krucha wciąż jest prywatność, gdy zderzają się wygoda, zewnętrzni dostawcy i nieprzejrzyste rynki danych. Nawet gdy prawodawcy zaostrzają niektóre przepisy, a platformy ogłaszają nowe architektury „chroniące prywatność”, nasze własne dane telemetryczne i zewnętrzne incydenty wskazują na ten sam schemat: dane zebrane w jednym celu wciąż trafiają w niepowołane ręce, a podstawowe identyfikatory, które stanowią podstawę cyfrowego życia, zwłaszcza numery telefonów i identyfikatory urządzeń, pozostają poszukiwane.

    Dane wciąż wyciekają tylnymi drzwiami

    Dwa incydenty ujawniły strukturalne ryzyko związane z outsourcingiem przetwarzania wrażliwych danych, od weryfikacji tożsamości po śledzenie lokalizacji, do podmiotów zewnętrznych. Discord ujawnił, że naruszenie bezpieczeństwa u dostawcy usług obsługi klienta ujawniło około 70 000 zdjęć z dokumentów tożsamości używanych do weryfikacji wieku, co oznacza, że pojedyncza relacja z działem pomocy technicznej stała się skarbnicą danych na poziomie paszportowym.

    W Europie dziennikarze śledczy pokazali, jak łatwo jest kupić precyzyjne ślady lokalizacji telefonów komórkowych od brokerów danych. Zbiór danych „Bezpłatna próbka” zbioru danych zawierała setki milionów punktów lokalizacji, które można było powiązać z konkretnymi urzędnikami UE po prostu poprzez dopasowanie codziennych wzorców do adresów domowych i służbowych. Oba przypadki ilustrują ten sam trend: gdy dane zostaną zebrane w celu „wsparcia” lub „reklamy”, mogą zostać przepakowane, odsprzedane i przeanalizowane w sposób, którego użytkownicy nigdy się nie spodziewali.

    Największym szokiem tego kwartału w zakresie prywatności był system wyszukiwania kontaktów w WhatsApp. Naukowcy z Uniwersytetu Wiedeńskiego i SBA Research wykazali, że nadużywając niedostatecznie zabezpieczonego interfejsu API, byli w stanie zidentyfikować około 3,5 miliarda kont WhatsApp, potwierdzając, czy dany numer telefonu jest zarejestrowany, a w przypadku wielu użytkowników – pobierając zdjęcia profilowe i tekst z sekcji „o mnie”. Meta zaostrzyła teraz ograniczenia szybkości, a nasz własny blog, Przerażenie związane z prywatnością w WhatsApp, które prawdopodobnie przegapiłeś, wyjaśnia, dlaczego „brak dowodów nadużycia” nie oznacza „braku ryzyka” oraz w jaki sposób pojedynczy numer telefonu może być nicią łączącą stare i nowe wycieki danych.

    Komercjalne kampanie szpiegowskie stanowiły kolejne dobitne przypomnienie, że gdy urządzenie zostanie przejęte, teoretyczne gwarancje prywatności tracą sens. Oprogramowanie szpiegowskie Landfall wykorzystało lukę typu zero-day w przetwarzaniu obrazu przez Samsunga, aby zainfekować telefony Galaxy za pomocą złośliwych zdjęć wysyłanych przez WhatsApp, a następnie przez wiele miesięcy po cichu uzyskiwało dostęp do zdjęć, wiadomości, kontaktów, rejestrów połączeń, mikrofonu i dokładnej lokalizacji. Przy takim poziomie naruszenia szyfrowanie i banery zgody oferują niewiele więcej niż pozory ochrony.

    Nasze dane telemetryczne: liczba trackerów stabilizuje się, podczas gdy liczba naruszeń nadal rośnie

    Jeśli chodzi o śledzenie, nasze dane telemetryczne z programu Norton AntiTrack dla systemu Windows pokazują, że klasyczne śledzenie w przeglądarkach i identyfikacja odcisków palców pozostają powszechne, ale pojawiają się pierwsze oznaki stabilizacji. Liczba wykrytych trackerów i prób identyfikacji odcisków palców na urządzenie w systemie Windows ustabilizowała się, a nawet spadła w czwartym kwartale w porównaniu z poprzednimi kwartałami, chociaż ogólna liczba pozostaje wysoka. W praktyce oznacza to, że podstawowy ekosystem śledzenia nie zniknął, nawet jeśli niektóre platformy mówią o odejściu od „plików cookie”. Narzędzia, które aktywnie blokują trackery i fingerprinting, nadal wykonują rzeczywistą pracę w tle.

    Globalne przepisy dotyczące prywatności zmierzają w różnych kierunkach

    Organy regulacyjne nie pozostawały w tym kwartale bezczynne, ale efekt netto to raczej mozaika niż jasny globalny standard.

    W UE proponowany przez Komisję pakiet „Digital Omnibus” opóźniłby kluczowe przepisy dotyczące sztucznej inteligencji „wysokiego ryzyka” do końca 2027 r. i złagodziłby zasady dotyczące wykorzystania przez firmy danych wrażliwych, w tym informacji zdrowotnych i biometrycznych, do szkolenia AI w ramach „uzasadnionego interesu”. Spodziewane są gorące dyskusje, ponieważ dostęp do danych będzie musiał być zrównoważony z potrzebami w zakresie prywatności.

    Indie poszły w przeciwnym kierunku, wprowadzając w życie Digital Personal Data Protection Rules 2025, które formalizują system oparty na zgodzie, wprowadzając bardziej rygorystyczne zasady dotyczące ograniczenia celu i powiadamiania o naruszeniach w odniesieniu do codziennych aplikacji i usług cyfrowych. W Stanach Zjednoczonych proponowana Health Information Privacy Reform Act

    (HIPRA) rozszerzyłaby ochronę w stylu HIPAA na aplikacje zdrowotne i fitnessowe, które historycznie funkcjonowały w szarej strefie prawnej, odzwierciedlając obawy dotyczące ilości wrażliwych danych telemetrycznych dotyczących zdrowia gromadzonych przez urządzenia do noszenia i platformy wellness.

    Na poziomie stanowym Kalifornia nadal wytyczała nowe granice. Nowa ustawa „Opt Me Out Act” (AB 566) będzie wymagać od przeglądarek oferowania wbudowanego globalnego sygnału rezygnacji do 2027 r., a strony internetowe podlegające kalifornijskiej ustawie o ochronie prywatności konsumentów (CCPA) będą musiały traktować ten sygnał jako ważną prośbę o „nie sprzedawanie ani nie udostępnianie”. Kalifornijska Agencja Ochrony Prywatności prowadzi również odrębne prace nad platformami do usuwania danych i rezygnacji oraz zabezpieczeniami prywatności ukierunkowanymi na dzieci. Razem te działania sugerują, że kontrolki prywatności na poziomie przeglądarki i automatyczne sygnały rezygnacji stają się domyślnym oczekiwaniem w kluczowych stanach USA.

    Wielkie firmy technologiczne dostosowują obietnice dotyczące prywatności, ale śledzenie nadal trwa

    Reakcje platform na te naciski były zróżnicowane. Google skutecznie zamknęło większość swojej inicjatywy Privacy Sandbox, przyznając, że proponowane zamienniki plików cookie stron trzecich spotkały się z ograniczonym przyjęciem i surową kontrolą. W praktyce oznacza to, że konwencjonalne śledzące pliki cookie i powiązane techniki pozostaną w użyciu dłużej, niż wielu się spodziewało, co pokrywa się z tym, co nadal obserwujemy w naszej telemetrii AntiTrack.

    Jednocześnie Google wprowadził architekturę Private AI Compute, środowisko chmurowe, które obiecuje uruchamianie potężnych modeli Gemini na danych użytkowników w izolowanych sprzętowo, zaszyfrowanych enklawach, których nawet Google nie może bezpośrednio sprawdzić. Ze swojej strony Apple zaktualizował wytyczne dotyczące recenzji w App Store, tak aby aplikacje musiały wyraźnie informować użytkowników i uzyskać ich zgodę przed wysłaniem danych osobowych do zewnętrznych usług AI.

    Są to znaczące kroki, ale nie eliminują one podstawowego ryzyka, że wrażliwe dane opuszczają urządzenie. Przenoszą one dyskusję z pytania „czy” udostępniać dane chmurowym systemom AI na „na jakich zasadach i gwarancjach”. Dopóki tradycyjne śledzenie w sieci również będzie się utrzymywać, spodziewamy się, że mechanizmy przeciwdziałające śledzeniu i identyfikacji użytkowników pozostaną kluczowym elementem każdej realistycznej strategii ochrony prywatności.

    Co to oznacza

    Biorąc pod uwagę wszystkie te sygnały, sytuacja w zakresie prywatności w tym kwartale dotyczy mniej pojedynczego spektakularnego wycieku, a bardziej kumulacji. Zewnętrzni dostawcy i brokerzy danych poszerzają obszar, z którego mogą uciekać poufne informacje. Luki w komunikacji i komercyjne oprogramowanie szpiegujące pokazują, jak metadane i naruszenie bezpieczeństwa urządzenia mogą zniweczyć komfort szyfrowania typu end-to-end. Organy regulacyjne dążą w różnych kierunkach – niektóre jurysdykcje zaostrzają kontrole, podczas gdy inne ułatwiają szkolenie modeli AI. Platformy po cichu wycofują się z ambitnych planów zastąpienia śledzenia, wprowadzając jednocześnie nowe przepływy danych oparte na sztucznej inteligencji.

    Dla naszych klientów ta kombinacja oznacza, że prywatność nie jest już statycznym ustawieniem. Jest to ruchomy cel, który zależy od tego, ile podmiotów zewnętrznych ma dostęp do ich danych, jak zabezpieczone są ich urządzenia oraz czy korzystają z narzędzi, które mogą usuwać moduły śledzące, wcześnie sygnalizują naruszenia i ostrzegają, gdy ich identyfikatory, od numerów telefonów po numery dowodów osobistych, są ponownie wykorzystywane w ryzykowny sposób. Coraz częściej obejmuje to również usługi takie jak Privacy Monitor Assistant, który automatycznie skanuje strony brokerów danych w poszukiwaniu danych osobowych i żąda ich usunięcia, gdy się pojawią.

    Zaufanie i tożsamość

    Kiedyś zaufanie polegało na tym, czy strona internetowa miała kłódkę, czy dzwoniący znał Twoje imię. W czwartym kwartale coraz częściej chodzi o to, czy osoba, usługa lub dokument po drugiej stronie są w ogóle prawdziwe. Tożsamość nie jest już tylko celem; jest głównym punktem ataku. Nasze dane i badania zewnętrzne pokazują ten sam wzorzec: więcej oszustw opartych na tożsamości, więcej syntetycznych i skradzionych tożsamości oraz szybko rozwijający się ekosystem narzędzi, które rzekomo chronią ludzi właśnie przed tym.

    Oszustwa związane z tożsamością przechodzą od sporadycznych przypadków do ryzyka domyślnego

    W różnych branżach firmy zgłaszają, że oszustwa są coraz częściej związane z tożsamością, a nie wyłącznie z transakcjami. Najnowsza analiza klientów korporacyjnych przeprowadzona przez AuthenticID pokazuje 42-procentowy wzrost w ujęciu rok do roku w liczbie fałszywych dokumentów tożsamości i podejrzanych dopasowań biometrycznych, przy czym ogólny wskaźnik oszustw osiągnął 2,10 procent, co stanowi najwyższy poziom od trzech lat.

    W tej samej ankiecie prawie 70% organizacji stwierdziło, że obawia się, iż generatywna sztuczna inteligencja utrudni wykrywanie oszustw związanych z tożsamością, a ponad dwie trzecie doświadczyło już w ciągu ostatniego roku oszustw związanych z pracownikami, często polegających na wykorzystaniu skompromitowanych lub sfabrykowanych tożsamości, a nie na zwykłym nadużyciu konta.

    Raport 2025 Global Identity and Fraud przedstawia podobny obraz sytuacji. Około 90 procent firm twierdzi, że obawia się oszustw, a prawie 60 procent zgłasza wyższe straty z tytułu oszustw w ujęciu rok do roku, przy czym na czele listy znajdują się kradzież tożsamości, przejęcie kontroli nad kontem oraz oszustwa płatnicze. Wiele firm zwiększyło już budżety na zapobieganie oszustwom i spodziewa się, że do 2026 r. głównym wyzwaniem będą generowane przez sztuczną inteligencję deepfake’i i syntetyczne tożsamości. Konsumenci nie czują się jednak bezpiecznie. Większość nadal odczuwa niepokój związany z coraz większym udziałem życia w sieci, a między zaufaniem, jakie firmy pokładają we własnych mechanizmach kontroli, a poziomem zaufania faktycznie zgłaszanym przez ludzi istnieje zauważalna przepaść.

    Krótko mówiąc, tożsamość jest obszarem, w który inwestują atakujący, a systemy obronne próbują nadążyć. Dokładnie to obserwujemy w naszych własnych danych telemetrycznych.

    Co nasze alerty dotyczące tożsamości mówią o prawdziwych ludziach

    Nasze dane LifeLock analizują zdarzenia związane z tożsamością konsumentów w czasie: nowe wpisy, podejrzane transakcje, narażenie w dark webie i alerty związane z oszustwami, a wszystko to przekształcone w wskaźniki ryzyka, dzięki czemu możemy zobaczyć, jaki odsetek naszych klientów jest faktycznie narażony na ryzyko w danym okresie.

    W czwartym kwartale 2025 r. odnotowano wyraźny wzrost kilku rodzajów alertów; poniższe dane pokazują zmianę średniej miesięcznej liczby użytkowników, którzy otrzymali alerty, w ujęciu kwartalnym:

    • Alerty dotyczące wpisów związanych z nieruchomościami (nieautoryzowane zgłoszenia): +252,27%
    • Alerty o naruszeniach (potencjalne ujawnienie danych, nawet jeśli źródło nie jest jeszcze znane): +221,72%
    • Alerty dotyczące aktywności na kontach bankowych (podejrzana aktywność wykraczająca poza limity kredytowe): +112,34%

    Wprowadziliśmy również i rozpoczęliśmy śledzenie zestawu nowych alertów, które monitorują nadużycia tożsamości głębiej w systemie finansowym. Obejmują one:

    • Alerty dotyczące podejrzanej aktywności na kontach opartych na kredycie, takich jak karty kredytowe lub linie kredytowe.
    • Alerty dotyczące nowych wniosków o kredyty ratalne, leasingi i karty detaliczne otwierane w imieniu klienta.
    • Powiadomienia na poziomie transakcji dotyczące kart kredytowych i kredytów ratalnych, które sygnalizują nietypowe lub obarczone wysokim ryzykiem płatności.

    Powiadomienia te nie tylko zwiększają liczbę alertów. Przesuwają one ochronę bliżej momentu, w którym skradziona lub syntetyczna tożsamość przekształca się w konkretne zobowiązanie finansowe: nowy kredyt, nową umowę leasingową, nową linię kredytową lub podejrzaną transakcję. Rosnące wskaźniki ryzyka w tych kategoriach potwierdzają sugestie raportów zewnętrznych: oszustwa związane z tożsamością stają się coraz bardziej złożone, obejmując jednocześnie rejestry nieruchomości, depozyty, instrumenty kredytowe oraz oszustwa socjotechniczne.

    W czwartym kwartale nastąpiło gwałtowne przyspieszenie liczby przypadków naruszeń danych, zarówno pod względem częstotliwości, jak i skali (na podstawie danych użytkowników naszych produktów). Miesięczna liczba naruszeń wzrosła z najniższego poziomu 307 w styczniu do szczytowej wartości ponad 3 tys. w listopadzie, a rok zakończył się liczbą 2243 incydentów w grudniu, co oznacza wzrost o 175,23% w ujęciu kwartalnym w odniesieniu do łącznej liczby naruszeń.

    Ilość ujawnionych danych wykazała podobną tendencję: liczba naruszonych rekordów wzrosła z 557 tys. w lipcu do ponad 2,09 mln rekordów w grudniu, napędzana gwałtownym wzrostem w listopadzie (1,4 mln rekordów). Ogólnie rzecz biorąc, ilość naruszonych danych wzrosła o +157,36% w ujęciu kwartalnym, co podkreśla nie tylko częstsze naruszenia, ale także większe i bardziej znaczące zdarzenia związane z ujawnieniem danych w miarę upływu kwartału.

    Aby prawidłowo zinterpretować wskaźnik alertów dotyczących tożsamości, warto oddzielić liczbę od powagi zdarzeń. Wskaźnik alertów dotyczących tożsamości pokazuje odsetek aktywnych użytkowników, którzy otrzymali co najmniej jeden alert danego typu w danym okresie, w tym zarówno sygnały wczesnego ostrzegania, jak i zdarzenia o większym znaczeniu.

    Niektóre alerty są wskaźnikami o niewielkim znaczeniu; inne wskazują na konkretne narażenie, takie jak niezamówiony wniosek kredytowy, podejrzana aktywność na koncie lub potwierdzone ujawnienie danych. Podsumowując, trend ten sugeruje, że problemy związane z tożsamością dotykają coraz większą część naszej bazy użytkowników, a nie tylko niewielką, pechową grupę.

    Identyfikatory osobiste stają się kluczami uniwersalnymi

    Incydent z WhatsApp, o którym pisaliśmy na naszym blogu, „Strach o prywatność w WhatsApp, który prawdopodobnie przegapiłeś”, był wyraźnym przypomnieniem, że pojedynczy identyfikator może odblokować znacznie więcej, niż ludzie zdają sobie sprawę. Wynikająca z tego lekcja – i ryzyko – nie ograniczają się do WhatsApp. Numery telefonów i podobne identyfikatory są coraz częściej traktowane jako uniwersalne klucze w aplikacjach do przesyłania wiadomości, bankowości, procesów odzyskiwania danych i monitów o uwierzytelnianie dwuskładnikowe. Gdy wyciekną, atakujący mogą połączyć je ze starymi danymi z naruszeń, informacjami z otwartych profili i tanimi narzędziami do wyszukiwania, aby odtworzyć profile tego, kim jesteś, gdzie mieszkasz, z kim rozmawiasz i z jakich usług najprawdopodobniej korzystasz. Profile te znacznie ułatwiają tworzenie wiarygodnych prób phishingu, zamiany karty SIM, fałszywych połączeń z pomocą techniczną lub sztuczek związanych z resetowaniem hasła, które wyglądają na „wystarczająco spersonalizowane”.

    Ten sam schemat obserwujemy w naszych alertach LifeLock, gdy liczba oszustw lub prób phishingu gwałtownie rośnie w tym samym czasie, co powiadomienia o naruszeniach i nowe wnioski finansowe. Twoja tożsamość zazwyczaj nie zostaje naruszona w wyniku jednego dramatycznego zdarzenia. Jest ona z czasem badana, wzbogacana i ponownie wykorzystywana, a każdy ujawniony punkt danych sprawia, że kolejny atak jest bardziej przekonujący.

    Dwie z prezentowanych w tym kwartale historii podkreślają tę trajektorię na poziomie osobistym. Artykuł Przejęcie konta WhatsApp przez GhostPairing pokazuje, jak pojedynczy kod parowania może po cichu dodać „widmowe” urządzenie do Twojego konta, zamieniając Twoją historię czatów, notatki głosowe, i kontakty w narzędzia do dalszego podszywania się. Artykuł Oszustwa matrymonialne wspomagane przez AI pokazuje, jak zdjęcia, głos i profile społecznościowe mogą zostać połączone w kompletnych syntetycznych partnerów, którzy wydają się prawdziwi ofiarom, podczas gdy są one kierowane na strony weryfikacyjne, portale inwestycyjne lub do intymnej wymiany informacji. Oba przypadki opierają się na tej samej idei: Twoje identyfikatory i ślady stają się surowcem dla scenariusza kogoś innego.

    Syntetyczni profesjonaliści i pracownicy-duchy

    Nie tylko osoby fizyczne borykają się z ryzykiem związanym z tożsamością. Organizacje również są oszukiwane przez fałszywych współpracowników i specjalistów, którzy istnieją tylko na papierze i w pikselach.

    W Stanach Zjednoczonych kilku oskarżonych przyznało się do winy w sprawie, która ujawniła, w jaki sposób północnokoreańscy pracownicy IT, działający pod fałszywymi nazwiskami i wykorzystujący skradzione lub pożyczone tożsamości amerykańskie, zdołali zdobyć pracę zdalną w setkach firm. Przekazywali oni wynagrodzenia z powrotem do Korei Północnej, omijając sankcje, a dostęp do sieci korporacyjnych i baz kodu był obsługiwany przez osoby zupełnie inne niż te z CV w aktach.

    Jeśli chodzi o usługi, dochodzenia dotyczące platformy freelancerów Fiverr ujawniły dziesiątki profili, które podszywały się pod prawdziwych brytyjskich prawników, wykorzystując skradzione dane uwierzytelniające Solicitors Regulation Authority w połączeniu ze zdjęciami twarzy wygenerowanymi przez sztuczną inteligencję. Niektórzy z tych fałszywych „prawników” otwarcie przyznali się do korzystania z narzędzi AI do generowania dokumentów prawnych dla klientów, podczas gdy organy regulacyjne zgłosiły w ciągu roku ponad 1400 oszustw związanych z podszywaniem się pod inne osoby.

    Wspólnym mianownikiem tych przypadków jest nie tylko to, że przestępcy kłamią na temat tego, kim są. Chodzi o to, że przejmują oni instytucjonalne sygnały zaufania: numery adwokackie, rejestry zawodowe, korporacyjne procesy HR, rozmowy wideo i dopracowane zdjęcia portretowe. Gdy te wskaźniki są tanie w podrabianiu i trudne do zweryfikowania na dużą skalę, zarówno osoby fizyczne, jak i organizacje podejmują decyzje o wysokiej stawce w oparciu o tożsamości, które nigdy naprawdę nie istniały.

    Ponownie, nasze wewnętrzne dane telemetryczne potwierdzają to. Wzrost liczby nowych wniosków o produkty kredytowe i leasingowe monitorowanych przez LifeLock jest zgodny z wykorzystaniem syntetycznych tożsamości do otwierania linii kredytowych lub wynajmowania aktywów, za które nigdy nie zostanie zapłacone.

    Środki obronne nadrabiają zaległości, ale zaufanie jest kruche

    Strona obronna tego obrazu szybko ewoluuje. Globalne inwestycje w ochronę tożsamości cyfrowej, wykrywanie oszustw i technologie zwalczania przestępczości finansowej nadal rosną. Raporty analityków dotyczące rynku ochrony przed kradzieżą tożsamości przewidują na przykład, że wartość tego sektora wzrośnie z około 14,5 mld dolarów w 2025 r. do ponad 23 mld w 2029 r., przy dwucyfrowym rocznym wzroście, ponieważ coraz więcej konsumentów płaci za dedykowane usługi monitorowania i przywracania tożsamości.

    W branżach podlegających regulacjom, takich jak bankowość i ubezpieczenia, ochrona tożsamości cyfrowej jest obecnie traktowana jako podstawowa infrastruktura, a nie jako coś, co „dobrze jest mieć”. W najnowszym opracowaniu Everest Group na temat tożsamości cyfrowej i przestępczości finansowej zauważono, że instytucje finansowe przechodzą na systemy warstwowe, łączące weryfikację tożsamości, silne uwierzytelnianie i automatyzację zgodności z przepisami, coraz częściej z wykorzystaniem sztucznej inteligencji i biometrii.

    Wyzwaniem jest to, że sama technologia nie wypełnia luki zaufania. Badanie Experian pokazuje, że ponad 80 procent osób oczekuje od firm podjęcia aktywnych kroków w celu ochrony ich tożsamości i prywatności, jednak znacznie mniej osób faktycznie ufa, że firmy te robią wystarczająco dużo. Wiele osób chce zarówno silniejszej ochrony, jak i mniej utrudnień, co jest trudnym do zrealizowania połączeniem. Gdy weryfikacje tożsamości są zbyt inwazyjne lub niesłusznie blokują legalnych użytkowników, ludzie szybko tracą cierpliwość. Gdy weryfikacje są niewidoczne i zbyt liberalne, oszuści znajdują luki.

    Nasze własne doświadczenia odzwierciedlają tę sprzeczność. Dodanie nowych typów alertów ułatwia wykrywanie nadużyć tożsamości na wczesnym etapie, ale jednocześnie zwiększa częstotliwość, z jaką prosimy użytkowników o weryfikację. Jeśli każde ostrzeżenie wydaje się pilne, użytkownicy przestają zwracać na nie uwagę. Jeśli jeden krytyczny alert wygląda jak każdy marketingowy e-mail, zostaje zignorowany – nasze produkty starają się zrównoważyć te napięcia, aby zapewnić użytkownikom odpowiednie powiadomienia.

    Jak to wpływa na użytkowników

    Trend w obszarze zaufania i tożsamości w tym kwartale jest jasny: coraz większa część ryzyka, na jakie narażeni są użytkownicy, przejawia się w postaci zdarzeń związanych z tożsamością, a nie pojedynczych zakażeń złośliwym oprogramowaniem. Skradzione lub sfabrykowane tożsamości pojawiają się w postaci nowych wpisów dotyczących nieruchomości, powiadomień o naruszeniach, podejrzanych wpłat, nowych linii kredytowych i alertów o oszustwach na kontach klientów. Firmy coraz częściej korzystają z narzędzi do zarządzania tożsamością cyfrową i wykrywania oszustw wspomaganego sztuczną inteligencją, ale wciąż mają trudności z dotrzymaniem kroku przestępcom, którzy potrafią tanio sklonować twarze, głosy, dokumenty i CV.

    Dla osób prywatnych praktyczne konsekwencje są proste, ale nieprzyjemne:

    • Twój numer telefonu, adres e-mail, dokumenty tożsamości i referencje zawodowe są traktowane jako uniwersalne klucze w wielu systemach. Wyciek jednego z nich to nie drobna niedogodność, a długoterminowy czynnik ryzyka.
    • „Zweryfikowane” nie jest już pojęciem zero-jedynkowym. Numer adwokacki, firmowy adres e-mail czy dopracowany profil mogą być całkowicie fałszywe, zwłaszcza gdy ciężką pracę wykonuje sztuczna inteligencja.
    • Ochrona tożsamości cyfrowej staje się czymś, o co trzeba dbać nieustannie, a nie jednorazowym działaniem po otrzymaniu powiadomienia o naruszeniu.

    W dalszej części tego raportu pokażemy, jak te abstrakcyjne trendy przekładają się na konkretne historie, od przejęć kont, które dodają „urządzenia-widma” do Twoich czatów, po skrypty romansowe koordynowane przez sztuczną inteligencję, które owijają się wokół Twoich emocji, finansów i dokumentów. Podsumowując, historie te pokazują, że prawdziwym polem bitwy nie jest strona logowania; jest nim ewoluująca relacja między tym, kim myślisz, że jesteś w sieci, a tym, kim według Twoich danych jesteś.

    Dobrobyt finansowy

    Oszustwa finansowe podążają za nawykami związanymi z pieniędzmi. Pojawiają się wszędzie tam, gdzie ludzie sprawdzają salda bankowe, ubiegają się o pożyczki, przenoszą pieniądze między kontami lub próbują rozciągnąć wypłatę. Do tej pory nasze spojrzenie na tę przestrzeń wynikało głównie z klasycznej telemetrii cybernetycznej, na przykład phishingu bankowego, fałszywych portali inwestycyjnych i oszustw płatniczych.

    W 2025 roku Gen włączył MoneyLion do swojego portfolio, umożliwiając konsumentom pewne zarządzanie i ochronę swojego cyfrowego i finansowego życia. MoneyLion demokratyzuje dostęp do narzędzi finansowych, takich jak budowanie historii kredytowej, oszczędzanie i spersonalizowane doradztwo, za pośrednictwem jednej aplikacji mobilnej. Dzięki włączeniu MoneyLion do Gen zyskaliśmy nowy punkt widzenia na to, jak ryzyko finansowe przejawia się w prawdziwym życiu, dokładnie w momencie, gdy ludzie wybierają produkty i podejmują decyzje dotyczące swoich pieniędzy.

    W czwartym kwartale wyróżniają się cztery wzorce. Nie przypominają one tradycyjnych „trojanów bankowych”, ale razem pokazują, w jaki sposób oszustwa wplatają się w codzienne zachowania finansowe.

    1. Skradzione tożsamości są wykorzystywane nie tylko do logowania, ale także do rejestracji

    W listopadzie 2025 r. zespół analityków danych MoneyLion wykrył nagły wzrost liczby wniosków o otwarcie nowych kont, które na pierwszy rzut oka wyglądały na legalne, ale nie przeszły dokładniejszych kontroli. Dalsza analiza wykazała trzy stałe cechy:

    • Dane dotyczące tożsamości wyglądały na prawdziwe, a nie zmyślone, i były wystarczająco dobre, aby przejść podstawowe procesy „Poznaj swojego klienta” (KYC).
    • Dokładniejsze kontrole urządzeń, adresów IP i deklarowanych lokalizacji nie były spójne, wykazując rozbieżności między adresem IP a podanym adresem zamieszkania lub bardzo świeże wykrycia tych urządzeń.
    • Wyraźne skupienie wokół tego samego banku zewnętrznego, co powiązane konto.

    Innymi słowy, nie była to przypadkowa fala fałszywych wniosków. Była to niewielka, ale wysokiej jakości akcja wykorzystująca zestawy skradzionych tożsamości i istniejące konta bankowe, mająca na celu udawanie „idealnych nowych klientów” dla produktu typu bankowego. Wielowarstwowe mechanizmy kontroli MoneyLion, w tym wzmocniona weryfikacja tożsamości oparta na ocenie ryzyka, powstrzymały wszystkie te próby, więc nie odnotowano żadnych strat w wyniku tej fali.

    To, czego nauczyliśmy się z tego schematu, jest ważne. Powtarza on zachowania obserwowane wcześniej w przypadku innych instytucji w USA, takich jak Citizens Bank (2023) i Varo Bank (2024): gdy atakujący zdobędą czyste dane tożsamości i konta, następnym logicznym krokiem jest wykorzystanie tych danych w produktach fintechowych i kredytowych, a nie tylko do logowania metodą brute force. Liczba oszustw jest celowo utrzymywana na niskim poziomie, aby uniknąć kontroli botów i szybkości, co oznacza, że jakość każdej tożsamości ma większe znaczenie niż liczba prób.

    2. Napiwki i zmiany po rozliczeniu to atrakcyjny obszar oszustw

    Drugi wzorzec dotyczy sposobu, w jaki karty obsługują napiwki i zmiany po rozliczeniu. MoneyLion walczy z powtarzającą się metodą oszustwa, w której oszust:

    1. Zdobywają lub kontrolują konto bankowe z niewielkim saldem, na przykład pięcioma dolarami.
    2. Ubiega się o autoryzację niewielkiej transakcji, często o wartości jednego dolara, która łatwo przechodzi.
    3. Po autoryzacji kwota rozliczenia gwałtownie wzrosła, na przykład do pięćdziesięciu tysięcy dolarów.

    Ponieważ autoryzacja już przeszła, system często traktuje późniejsze rozliczenie jako zatwierdzone i przenosi ciężar odzyskania środków na powolne procesy sporne. W czwartym kwartale dwa incydenty ilustrują ten wpływ:

    • W październiku 2025 r. jeden sprawca wykorzystał tę metodę, powodując potencjalne straty w wysokości około 33 000 dolarów.
    • W listopadzie 2025 r. pojedynczy użytkownik spowodował stratę w wysokości około 16 000 dolarów w ciągu jednego dnia podczas rejsu.

    W ujęciu miesięcznym nadużycia związane z wymuszonymi korektami po rozliczeniu nadal stanowią niewielką część całkowitych przychodów, mierzoną w kilku punktach bazowych. Podejście to wykorzystuje funkcję pierwotnie zaprojektowaną dla branży hotelarskiej i napiwków, gdzie korekty po transakcji są normalne. Jeśli platformy pozwalają nowym lub słabo zweryfikowanym sprzedawcom na wprowadzanie dużych zmian bez dodatkowych kontroli, garstka podmiotów może wielokrotnie zamieniać testy za jednego dolara w transakcje o wartości pięciocyfrowej.

    3. Spory dotyczące mikrotransakcji zacierają granicę między klientem a oszustem

    Nadużycia związane z mikrotransakcjami pojawiają się na styku twórców, platform społecznościowych i aplikacji finansowych. Podstawowe podejście wygląda następująco:

    • Użytkownik łączy konto bankowe z aplikacją finansową,
    • wysyła dużą liczbę niewielkich napiwków lub dokonuje zakupów u twórcy na platformach takich jak TikTok lub Meta,
    • gdy środki zostaną zaksięgowane, kwestionuje wszystkie transakcje, twierdząc, że były one nieautoryzowane lub że towary nie zostały otrzymane.

    Czasami twórca jest nieświadomą ofiarą, która traci swoje dochody. W innych przypadkach dochodzi do zmowy między posiadaczem konta a twórcą, którzy dzielą się zyskami. Tak czy inaczej, ekonomiczną zachętą dla banków i podmiotów przetwarzających płatności jest często akceptowanie sporów, ponieważ walka z tysiącami drobnych obciążeń zwrotnych kosztuje więcej niż ich odpisanie.

    MoneyLion uważa, że od stycznia 2025 r. wykorzystanie mikrotransakcji rośnie na platformach gier i platformach społecznościowych, a w niektórych miesiącach liczba sporów związanych z tym zachowaniem może wzrosnąć do przedziału od 20 000 do 30 000 dolarów, jeśli wszystkie te transakcje zostaną automatycznie zatwierdzone, a później zakwestionowane. To są prawdziwe pieniądze w skali pojedynczego sprzedawcy lub ekosystemu twórców.

    Z perspektywy dobrej kondycji finansowej właśnie w tym momencie oszustwa popełniane przez samych użytkowników przestają być błędem zaokrąglenia. Ludzie są szkoleni w Internecie, aby traktować nadużywanie obciążeń zwrotnych jako „sztuczkę” przeciwko dużym platformom, a nie jako oszustwo, które podnosi koszty dla wszystkich. Jednocześnie niektórzy prawdziwi konsumenci, w tym rodziny zarządzające wydatkami dzieci w aplikacjach, są nakłaniani do nadmiernych wydatków poprzez manipulacyjny projekt zakupów w aplikacji, a następnie uciekają się do sporów, gdy przychodzą rachunki. Obie strony powodują większe tarcia i wyższe opłaty w systemie.

    4. Phishing i przejęcie konta nadal powodują największe bezpośrednie straty

    Najbardziej tradycyjny schemat w danych MoneyLion jest również najdroższy: phishing SMS-owy, który prowadzi do całkowitego przejęcia konta. Ostatnie fale mają znaną strukturę:

    • Atakujący uzyskują numery telefonów i częściowe dane tożsamości prawdziwych klientów, często w wyniku naruszeń w innych instytucjach finansowych lub u brokerów danych.
    • Wysyłają zlokalizowane wiadomości SMS, które naśladują alerty MoneyLion i kierują ludzi na fałszywą stronę logowania,
    • Fałszywa strona zbiera dane uwierzytelniające i jednorazowe kody, które są następnie natychmiast wykorzystywane w prawdziwej usłudze.

    Metoda ta może spowodować znaczne straty, nawet jeśli podstawowe systemy weryfikacji i oceny ryzyka blokują wiele prób. W odpowiedzi MoneyLion stosuje podejście warstwowe, które nasila kontrole w momentach największego ryzyka, w tym ukierunkowaną ponowną weryfikację, gdy aktywność odbiega od uzasadnionych wzorców. Kompromisem jest utrudnienie; silniejsze kontrole mogą czasami dotyczyć legalnych klientów. W przyszłości utrzymanie tej równowagi będzie trudniejsze, ponieważ próby oszustw wspomagane przez sztuczną inteligencję coraz lepiej naśladują sygnały tożsamości, zwiększając potrzebę stosowania odpornej weryfikacji aktywności i weryfikacji uwzględniającej deepfake. We wszystkich incydentach profilowanie urządzeń wykazało również spójne wskaźniki środowiskowe, w tym powtarzające się artefakty ustawień lokalizacji i wprowadzania danych, ale sygnały te należy traktować jako kontekst śledczy, a nie jako przypisanie odpowiedzialności.

    Kampanie te nawiązują również do szerszego obrazu tożsamości przedstawionego w niniejszym raporcie. Te same przejęte numery telefonów i częściowe profile, które sprawiają, że phishing w WhatsApp lub bankowości jest tak skuteczny, często pochodzą z wcześniejszych naruszeń lub sprzedaży danych. Gdy atakujący zdoła skłonić klienta do przekazania kodu tymczasowego, każde inne zabezpieczenie musi być wystarczająco szybkie i precyzyjne, aby w czasie rzeczywistym rozpoznać sesję jako nienormalną.

    Odpowiedzią MoneyLion było zainwestowanie w silniejszą koordynację uwierzytelniania wieloskładnikowego oraz alternatywne metody uwierzytelniania, które trudniej jest odtworzyć za pośrednictwem proxy phishingowych, na przykład zatwierdzenia powiązane z urządzeniem oraz bardziej agresywne kontrole wzmacniające w przypadku pojawienia się nowych urządzeń lub lokalizacji.

    Co to oznacza dla dobrej kondycji finansowej

    Podsumowując, wzorce te wskazują, że oszustwa finansowe zbliżają się do codziennych zachowań:

    • Skradzione dane tożsamości są wykorzystywane przede wszystkim do wysokiej jakości prób rejestracji, a nie tylko do logowania metodą brute force.
    • Tradycyjne funkcje płatnicze, takie jak napiwki i edycje po rozliczeniu, są przekształcane w narzędzia do uzyskiwania nadmiernych wypłat.
    • Mikrotransakcje i gospodarka twórców stanowią podatny grunt dla nadużyć związanych z obciążeniami zwrotnymi oraz zmowy w ramach „przyjaznych” oszustw.
    • Klasyczne phishing i przejęcie konta pozostają głównymi czynnikami powodującymi bezpośrednie straty finansowe, napędzane przez ponownie wykorzystywane dane tożsamości i przekonujące przynęty.

    Dla Gen sygnały MoneyLion pozwalają nam dostrzec te zagrożenia w momencie, gdy dotykają one prawdziwych klientów: gdy aplikacja jest blokowana przed przesunięciem środków, gdy testowy przelew o wartości jednego dolara nagle rozlicza się jako opłata pięciocyfrowa, gdy dziesiątki mikro-napiwków są po cichu kwestionowane lub gdy SMS-owa przynęta zamienia się w opróżnione konto. To właśnie tam decyduje się o kondycji finansowej w praktyce – nie w arkuszu kalkulacyjnym ze średnimi saldami, ale w powtarzających się drobnych momentach, w których ludzie albo zachowują kontrolę nad swoimi pieniędzmi, albo po cichu je tracą.

    Patrik Holop, zastępca kierownika ds. nauki o danych
    Luis Corrons, ewangelista bezpieczeństwa

    Część pierwsza | Część druga

    Oceń artykuł
    [Głosów: 1 Średnia: 5]
    Podziel się z nami swoją opinią! Zostaw komentarz! Podziel się z nami swoją opinią! Zostaw komentarz!
    Podziel się z nami swoją opinią! Zostaw komentarz!

    Materiał przygotowany przez CORE - Norton, Avast i AVG w Polsce

    Subskrybuj
    Powiadom o
    guest
    0 komentarzy
    Najstarsze
    Najnowsze Najwięcej głosów
    Opinie w linii
    Zobacz wszystkie komentarze