Sztuczna inteligencja w służbie cyberprzestępcom

PrzezAgnieszka Kuźmicka
Sztuczna inteligencja w służbie cyberprzestępcom

W Internecie jest coraz mniej bezpiecznie. Ministerstwo Cyfryzacji odnotowało 60% wzrost zgłoszeń między rokiem 2023 a 2024. Nowe technologie, jak właśnie sztuczna inteligencja*, zawsze służyły zarówno do rozwoju jak i niecnych celów. Nie inaczej jest i tym razem, szczególnie że jest to technologia o bezprecedensowej dynamice rozwoju i równie bezprecedensowym chaosie legislacyjnym.  

*Powszechnie dostępne narzędzia, jak ChatGTP, Gemini, Copilot itd. często nazywane są sztuczną inteligencją, chociaż nie spełniają jej definicji. Poprawnie to Duże Modele Językowe, LLM (Large Language Models). Choć mogą wydawać się sprytne, nie rozumieją ani pytań, ani swoich odpowiedzi.

Czemu jest coraz mniej bezpiecznie?

W czasach pandemii coraz więcej spraw zaczęliśmy załatwiać online, również tych związanych z podwyższonym ryzykiem, jak transakcje bankowe, konsultacje medyczne czy wymiana cyfrowych dokumentów. Te dane to łakomy kąsek dla cyberprzestępców, którzy stale rozwijają arsenał narzędzi, jakimi atakują swoje ofiary. Sytuacja za naszą wschodnią granicą dodatkowo pogorszyła sprawę, gdyż działania w sieci są kluczowym elementem wojny hybrydowej. 

Zagrożenia w sieci obejmują te, w których prężne organizacje przestępcze próbują wykraść nasze dane metodami opartymi na zaawansowanych algorytmach i eksploatacji podatności, ale w tym artykule chcę się skupić na tych, przed którymi może obronić się każdy. Tak samo, jak i każdy może się nabrać. 

O phishingu słów kilka

Phishing to zbiór socjotechnicznych zagrywek, mających na celu nakłonienie użytkownika, żeby sam oddał swoje loginy, hasła, dane, a nawet pieniądze w niepowołane ręce. Wielu z Was pewnie pamięta maile od nigeryjskiego księcia obiecujące fortunę po niewielkiej wpłacie, czy jeszcze przed Internetem, Cyganki wróżące przyszłość, o ile dostaną na chwilkę pierścionek. Do podobnej kategorii zaliczają się wyłudzenia „na wnuczka” czy ulepszona wersja „na policjanta”. 

Metody te, internetowe, telefoniczne, mailowe, na żywo, mają wiele wspólnych cech takich jak:

  • Zbudowanie wrażenia nagłej sytuacji kryzysowej, w której trzeba działać natychmiast
  • Podejrzanie korzystne oferty (polski pesymizm powinien pomóc w ich wykryciu)
  • Dziwne adresy maili, dziwne linki, dziwne kierunkowe telefonów
  • Trudne do zweryfikowania źródło komunikacji
  • Załączniki nie na miejscu, bez kontekstu
  • Często masowy charakter wiadomości, operujący ogólnikami
  • Błędy ortograficzne, gramatyczne
  • Amatorskie szaty graficzne maili, nieprofesjonalny język

Znacie te symptomy? Dla organizacji korzystającej z LLM połowa z nich leci do kosza. Na stronach rządowych ciągle widnieją.

Zmechanizowane spławiki, czyli Phishing nowej ery

Choć LLMy inteligentne nie są, to błędów językowych nie robią i świetnie sobie radzą z korpomową. Co gorsza, nowe algorytmy świetnie imitują nie tylko pismo, ale też głos, a powoli coraz lepiej radzą sobie z video. Mogą świetnie udawać współpracowników, szczególnie tych, z którymi nie mamy często kontaktu. Budują profesjonalnie wyglądające maile i strony internetowe, które naprawdę trudno odróżnić od oryginałów. Wiedzą też o nas więcej niż zdesperowany, niewykształcony producent phishingowych maili starej ery – dzięki treściom które udostępniliśmy publicznie na platformach społecznościowych. Atakujący zna już nie tylko Twoje imię, ale też kolor futerka Twojego zwierzaka, ulubioną zupę i doskonale wie, że właśnie wypoczywasz w Mielnie.

Wszystkie te zalety zaczynają być bez skrupułów wykorzystywane przez przestępców w celu fabrykowania coraz skuteczniejszych metod wyłudzania na rosnącą skalę, w sposób zautomatyzowany. 

Ojej, to co teraz?

Jedyną skuteczną ochroną przed phishingiem pozostaje czujność. W razie wątpliwości skonsultujemy z inną osobą, najlepiej działem IT w firmie, czy wiadomość jest bezpieczna. Przed kliknięciem linku, otwarciem załącznika czy tym bardziej podaniem poufnych danych, upewnijmy się, że nie jesteśmy właśnie ofiarą oszustwa. Warto pamiętać, że atak, który rozpoznamy bez problemu w kontrolowanym środowisku może nam umknąć gdy otwieramy maila na drugim ekranie czytając dokument podlany konwersacją z kolegą, szczególnie gdy nie wiemy, na co zwrócić uwagę. Nie zawsze jesteśmy też w pełni sił i wypoczęci.

Naprawdę warto skorzystać też ze szkoleń takich jak oferowane od niedawna przez EHS Consulting – https://ehsconsulting.pl/szkolenie-z-cyberbezpieczenstwa/