Cyberprzestępcy wykorzystują AI do wyłudzania danych

„Kreatywność cyberprzestępców jest bardzo duża, zapewne jeszcze nie raz zostaniemy zaskoczeni ich pomysłami” – ocenił ekspert z ChronPesel.pl. „Jednym z najprostszych zastosowań sztucznej inteligencji do wyłudzenia danych osobowych jest phishing, czyli wysyłanie e-maili podszywających się pod jakąś instytucję, w których jesteśmy proszeni o podanie danych osobowych, albo przekierowywani do fałszywych stron internetowych” – wskazał.

Ekspert zwrócił uwagę, że „dotychczas można je było łatwo odróżnić, bo z reguły zawierały mnóstwo błędów gramatycznych czy ortograficznych. Wykorzystanie modeli językowych to eliminuje. Można AI nauczyć stosowania określonego stylu i zrobi to bezbłędnie”.

Jak wskazują eksperci, metod wyłudzania danych jest więcej – w ubiegłym roku Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego (CSIRT KNF) ostrzegał m.in. przed wprowadzającymi w błąd reklamami platform inwestycyjnych, w których podszywano się pod znane instytucje lub osoby, w tym polityków. W kwietniu 2023 r. oszuści najczęściej wykorzystywali wizerunek Baltic Pipe (30 proc.), PGNiG (26 proc.), Tesli (11 proc.), spółek Skarbu Państwa (4 proc.) i banków (3 proc.).

Takie reklamy zamieszczane w mediach społecznościowych również przekierowywały do fałszywych podstron z formularzami wymagającymi np. rejestracji. Pozyskane w ten sposób dane mogą prędzej czy później zostać wykorzystane do wyłudzeń.

Eksperci przytaczają również, reklamy stworzone przy pomocy AI, które pojawiły się w 2023 roku. Prowadziły do oficjalnego sklepu Google Play. Zachęcano w nich do pobrania niebezpiecznej aplikacji, której instalacja pozwoliłaby przestępcom przejąć kontrolę nad komputerem czy smartfonem. W ten sposób mogą oni uzyskać dostęp do znajdujących się na urządzeniu danych osobowych czy loginów i haseł do kont bankowych. Z kolei Naukowa i Akademicka Sieć Komputerowa (NASK) ostrzegała przed oszustami podszywającymi się pod Allegro, którzy wysyłali e-maile sugerujące otrzymanie od serwisu premii lojalnościowej.

Autorzy raportu przypominają, że cyberprzestępcy stosują również technikę deepfake, która przy użyciu sztucznej inteligencji umożliwia nie tylko stworzenie fałszywych filmów i obrazów, lecz także podszycie się pod członka najbliższej rodziny. Wystarczy, że oszuści będą mieć dostęp do nagrania głosowego z naszym udziałem, które pozyskają np. z mediów społecznościowych. Niestety przed tym zjawiskiem jest się bardzo trudno uchronić.

Z ankiety przeprowadzonej przez McAfee na którą powołują się eksperci, ponad 7000 respondentów z siedmiu krajów odpowiedziało, że 53 proc. z nich dzieli się swoim głosem w Internecie przynajmniej raz w tygodniu. Z kolei 10 proc. ankietowanych osobiście doświadczyło próby oszustwa z wykorzystaniem fałszywego głosu w oparciu o sztuczną inteligencję, a kolejne 15 proc. zna osobę, która była celem takiego ataku. W Polsce na razie żadna instytucja nie prowadzi odrębnych statystyk dla przestępstw, w których wykorzystano AI. Jednak bez wątpienia jest to bardzo poważny problem, skoro ostrzega przed nim Instytut Wymiaru Sprawiedliwości, CSIRT KNF czy NASK.

ChronPESEL.pl to serwis oferujący usługi, których głównym zadaniem jest zwiększenie ochrony przed wyłudzeniami lub ich skutkami. (PAP)