Jak SI sprawia, że ataki phishingowe stają się bardziej niebezpieczne

Ataki polegające na wyłudzaniu informacji (phishing) występują, gdy cyberprzestępcy nakłaniają ofiary do udostępniania danych osobowych, takich jak hasła lub numery kart kredytowych, podając się za kogoś, kim nie są. Sztuczna inteligencja (SI) ułatwiła cyberprzestępcom przeprowadzanie ataków phishingowych poprzez tworzenie wiarygodnych wiadomości wyłudzających informacje, naśladowanie głosów użytkowników, analizowanie celów oraz tworzenie treści deepfake. Wykorzystując sztuczną inteligencję do takich ataków, cyberprzestępcy mogą wydawać się bardziej wiarygodni i wzbudzać większe zaufanie, co sprawia, że coraz więcej ofiar wysyła im prywatne informacje lub pieniądze. Badanie przeprowadzone w 2024 r. na zlecenie Keeper^® pokazuje, że liderzy IT obserwują wzrost liczby ataków opartych na sztucznej inteligencji o 51%.

Czytaj dalej, aby dowiedzieć się, jak cyberprzestępcy wykorzystują SI do ataków phishingowych, oraz sprawdź, jak można się przed nimi zabezpieczyć.

Jak cyberprzestępcy wykorzystują sztuczną inteligencję do przeprowadzania ataków phishingowych?

SI pomaga cyberprzestępcom przeprowadzać bardziej niebezpieczne ataki phishingowe zarówno na osoby prywatne, jak i przedsiębiorstwa.

SI do pisania

Wykorzystując generatywne narzędzia SI, takie jak ChatGPT, cyberprzestępcy mogą tworzyć wiadomości wyłudzające informacje bez typowych oznak ostrzegawczych: błędów gramatycznych i ortograficznych. Aby pokazać, jak łatwe jest to dla cyberprzestępców, poprosiłam ChatGPT o przygotowanie wiadomości e-mail wyłudzającej informacje. Wprowadzone przeze mnie treści zostały natychmiast usunięte, a ChatGPT stwierdził: „Ta zawartość może naruszać nasze zasady użytkowania”. Pomimo tego naruszenia ChatGPT nadal przedstawiał przykład wiadomości wyłudzającej informacje. Oto treść przygotowana przez ChatGPT:

Należy zauważyć, że w przeciwieństwie do typowych phishingowych wiadomości e-mail, ten tekst nie zawiera błędów gramatycznych ani ortograficznych. Cyberprzestępcy korzystający z generatywnych narzędzi sztucznej inteligencji, takich jak ChatGPT, nie muszą zastanawiać się, jak sformułować żądanie uzyskania informacji. ChatGPT zawierał sformułowania wskazujące na presję czasu, miejsce, w którym cyberprzestępca może wstawić link wyłudzający informacje a nawet groźbę zawieszenia konta potencjalnej ofiary.

AI do gromadzenia informacji

Generatywna sztuczna inteligencja może również pomóc cyberprzestępcom w zbieraniu informacji o celach ataku. Na początku tego roku FBI ostrzegło osoby prywatne i przedsiębiorstwa przed otrzymywaniem bardziej spersonalizowanych i dostosowanych wiadomości tworzonych przez cyberprzestępców przy użyciu sztucznej inteligencji. Rozpoznanie każdego celu przez cyberprzestępcę zajmuje dużo czasu, a sztuczna inteligencja przyspiesza to zadanie poprzez przetwarzanie i syntezę informacji o celu ataku. Dzięki temu cyberprzestępcy mogą dowiedzieć się więcej o swoich celach i ich zainteresowaniach bez poświęcania zbyt wiele czasu na żmudne poszukiwania informacji.

AI do podszywania się

W niektórych sytuacjach cyberprzestępcy mogą wykorzystywać sztuczną inteligencję do naśladowania charakterystycznego stylu pisania wiadomości e-mail i SMS-ów, a nawet podszywania się pod głosy określonych osób. Sztuczna inteligencja może również generować treści wizualne, takie jak zdjęcia lub filmy, aby podszyć się pod osobę, której cel ataku ufa. Po zobaczeniu znanego zdjęcia profilowego lub zamieszczonego filmu cel ataku może dojść do wniosku, że wysyła dane osobowe lub pieniądze do znanej sobie osoby. Cyberprzestępcy wykorzystują jednak sztuczną inteligencję do tworzenia treści deepfake – więcej informacji na ten temat poniżej.

Przykłady ataków phishingowych opartych na sztucznej inteligencji

Ataki phishingowe oparte na sztucznej inteligencji stają się coraz powszechniejsze, dlatego należy zwrócić uwagę na kilka ich głównych typów. Przyjrzyjmy się kilku przykładom ataków phishingowych z wykorzystaniem sztucznej inteligencji.

E-maile i wiadomości tekstowe wyłudzające informacje

Zanim SI stała się użytecznym narzędziem wykorzystywanym przez cyberprzestępców w atakach phishingowych, ludzie mogli łatwo wykryć wiadomości wyłudzające informacje w wiadomościach e-mail lub tekstowych, ponieważ często pełne były błędów ortograficznych i gramatycznych. Na przykład większość wiadomości e-mail wyłudzających informacji zawierała oczywiste literówki lub niezręcznie sformułowane zdania, tak jakby osoba pisząca wiadomość nie mówiła w danym języku. Jednak wiadomości e-mail i wiadomości tekstowe wyłudzające informacje są coraz bardziej przemyślane, ponieważ sztuczna inteligencja eliminuje te ewidentne błędy.

Cyberprzestępca może na przykład wysłać wygenerowaną przez sztuczną inteligencję wiadomość e-mail wyłudzającą informacje do pracownika dużej firmy, którego obiera na cel. Możliwe, że pracownik ten przeszedł szkolenie w zakresie rozpoznawania wiadomości e-mail wyłudzających informacje i zna oczywiste oznaki takie jak literówki i błędy gramatyczne. Jeżeli jednak wiadomość e-mail wyłudzająca informacje jest wystarczająco przekonująca, a cyberprzestępca podszywa się pod szefa pracownika, wiadomość może wydawać się pracownikowi prawdziwa i może on przekazać poufne informacje za pośrednictwem poczty elektronicznej.

Wyłudzenie informacji przez telefon (vishing) z wykorzystaniem sztucznej inteligencji

Vishing – rodzaj ataku wyłudzającego informacje przez telefon – stał się bardziej niebezpieczny w wyniku użycia narzędzi sztucznej inteligencji. W przypadku typowych ataków przez telefon cyberprzestępca podszywa się pod firmę lub osobę, której ufa cel w celu zwiększenia swoich szans na otrzymanie pieniędzy i informacji. Jednak, gdy w atakach tych cyberprzestępca wykorzystuje SI, może on udawać osobę, którą zna jego cel, analizując głosy znajomych tej osoby pochodzące z nagrań wideo i audio. Po przetworzeniu tych nagrań cyberprzestępca może zamaskować swój głos i mówić tak, jakby był krewnym, przyjacielem lub szefem ofiary. Wykorzystana w ten sposób sztuczna inteligencja sprawia, że atak jest bardziej przekonujący, jeśli cel rozpozna głos po drugiej stronie telefonu.

Ostatnio zaobserwowano to zjawisko w przypadku zaawansowanych technologicznie oszustw „na wnuczka” obejmujących pobieranie filmów lub nagrań audio bliskich atakowanych osób z mediów społecznościowych. Cyberprzestępcy wykorzystują sztuczną inteligencję do podszywania się pod głos kogoś bliskiego, przekonując starszą osobę, że jej rodzina jest zagrożona, co zazwyczaj skutkuje wysyłaniem pieniędzy.

Ataki typu spear phishing z wykorzystaniem sztucznej inteligencji

Ataki typu spear phishing mają miejsce, gdy cyberprzestępca atakuje określoną osobę lub organizację przy użyciu wcześniej uzyskanych informacji na jej temat, takich jak imię i nazwisko, adres e-mail lub numer telefonu. Chociaż wydaje się to podobne do tradycyjnego ataku wyłudzającego informacje, spear phishing jest bardziej spersonalizowanym i ukierunkowanym cyberatakiem, który utrudnia osobie atakującej rozpoznanie, że otrzymana wiadomość jest częścią ataku wyłudzającego informacje. Cyberprzestępcy wykorzystują sztuczną inteligencję do gromadzenia informacji o swoich celach, a następnie wykorzystują generatywne narzędzia SI, takie jak ChatGPT, do pisania wiadomości e-mail i tekstów na podstawie zgromadzonych informacji.

Załóżmy, że cyberprzestępca chce zaatakować studenta odbywającego staż w dużej firmie finansowej. Aby zaoszczędzić czas, cyberprzestępca wykorzystuje SI do przeanalizowania kont w serwisach społecznościowych oraz innych publicznych rejestrów atakowanej osoby. Gdy sztuczna inteligencja zgromadzi wystarczającą ilość informacji na temat celu i jego roli w organizacji, cyberprzestępca może wprowadzić te informacje do generatywnego narzędzia SI i napisać spersonalizowaną wiadomość e-mail, podając się za współpracownika lub szefa celu, aby przekonać go do udostępnienia poufnych informacji.

Treści deepfake z wykorzystaniem sztucznej inteligencji

Chociaż treści deepfake istnieją już od dłuższego czasu, stają się coraz trudniejsze do wykrycia ze względu na postęp w technologii sztucznej inteligencji. Treści deepfake, takie jak zdjęcia, nagrania audio i filmy, zmieniają jakieś elementy wyglądu danej osoby, aby wyglądała na kogoś, kim nie jest. Na przykład niedawno publikowane w serwisach społecznościowych treści deepfake przedstawiają celebrytów zaangażowanych w nieodpowiednie działania w kontaktach z innymi celebrytami lub zwykłymi ludźmi, gdy takie interakcje nigdy nie miały miejsca. Często wykorzystuje się je w złośliwych zamiarach, takich jak szantaż lub rozpowszechnianie fałszywych informacji. Sztuczna inteligencja sprawia, że obraz lub film jest tak realistyczny, iż nawet organy ścigania mają trudności z rozpoznaniem, czy są fałszywe. Ze względu na to, że takie treści deepfake zaczynają wyglądać naturalnie, cyberprzestępcy wykorzystują SI do przeprowadzania różnych ataków z wyłudzaniem informacji, ponieważ wiele osób wierzy w to, co widzi.

Jak chronić się przed atakami phishingowymi z wykorzystaniem sztucznej inteligencji

Ataki phishingowe oparte na sztucznej inteligencji stają się coraz częstsze i coraz bardziej szkodliwe, jednak wciąż istnieją sposoby na ochronę przed tymi zaawansowanymi cyberatakami.

Nigdy nie klikaj niechcianych linków i załączników

Aby zapewnić bezpieczeństwo prywatnych informacji i urządzeń, nigdy nie należy klikać linków ani pobierać załączników z niechcianych wiadomości. Jeśli otrzymasz niechcianą wiadomość e-mail lub wiadomość tekstową z prośbą o kliknięcie łącza w celu zweryfikowania informacji o koncie, jest to najprawdopodobniej oszustwo. Zwykłe kliknięcie linku bez zachowania ostrożności można narazić Cię na zainstalowanie na urządzeniu złośliwego oprogramowania, które może wykraść dane osobowe. Można sprawdzić, czy link jest bezpieczny, umieszczając wskaźnik myszy na adresie URL lub bezpiecznie kopiując i wklejając link do narzędzia sprawdzania adresów URL, takiego jak Raport przejrzystości Google.

To samo dotyczy niechcianych wiadomości z załącznikami: nie pobieraj ich na urządzenie. Na przykład, jeśli niechciana wiadomość e-mail zawiera plik PDF lub arkusz kalkulacyjny, który należy otworzyć, nie klikaj tych plików, ponieważ najprawdopodobniej zawierają złośliwe oprogramowanie. Kliknięcie lub pobranie niechcianego załącznika może wywołać infekcję złośliwym oprogramowaniem, która stwarza ryzyko przesłania prywatnych informacji do cyberprzestępcy i naruszenia bezpieczeństwa. Sprawdź, czy załącznik jest bezpieczny, korzystając z oprogramowania antywirusowego, sprawdzając dokładnie, czy nadawca jest prawdziwy i ignorując wiadomości oznaczone przez dostawcę poczty e-mail jako spam.

Nie odpowiadaj na niechciane prośby o podanie danych osobowych

Należy zignorować wszelkie niechciane prośby wysyłane przez e-mail, SMS lub telefon, które wymagają podania danych osobowych. Jeśli odbierzesz telefon z nieznanego numeru podającego się za znajomą osobę lub firmę, zanim udzielisz odpowiedzi, zastanów się, dlaczego dzwonią niespodziewanie z prośbą o podanie danych osobowych. Oto kilka typowych danych osobowych, których nie należy podawać w przypadku niechcianych próśb:

Uważaj na oferty, które wydają się zbyt dobre, aby były prawdziwe

Gdy cyberprzestępcy wykorzystują sztuczną inteligencję do gromadzenia informacji, łatwiej jest im określić zainteresowania atakowanego celu. Nie wierz w żadne okazje, które wydają się zbyt dobre, aby mogły być prawdziwe, zwłaszcza jeśli odwołują się do czegoś, co chcesz. Na przykład, jeśli otrzymasz wiadomość e-mail lub wiadomość tekstową z informacją o wygraniu dożywotniego zapasu ulubionego kosmetyku, zachowaj ostrożność, gdyż jest to prawdopodobnie podstęp w celu nakłonienia Cię do kliknięcia niebezpiecznego elementu lub udostępnienia danych osobowych.

Stwórz wraz z rodziną bezpieczne słowo

Bezpieczne słowo lub kod rodzinny to coś, co należy utworzyć w celu weryfikowania tożsamości podejrzanych osób. Na przykład, jeśli ktoś dzwoni do Ciebie lub członka rodziny i twierdzi, że jest osobą, którą znasz, poproś dzwoniącego o podanie bezpiecznego słowa. Jeśli rozmówca nie będzie go znać, wiadomo, że połączenie jest częścią ataku wyłudzającego informacje. Upewnij się, że bezpieczne słowo nie jest czymś, co cyberprzestępca lub sztuczna inteligencja mógłby odgadnąć, analizując dane osobowe użytkownika lub jego rodziny. Niepowtarzalne bezpieczne słowo pomoże chronić Ciebie i Twoją rodzinę przed atakami wyłudzającymi informacje z wykorzystaniem sztucznej inteligencji.

Korzystaj z menedżera haseł

Jednym z najlepszych sposobów na ochronę przed atakami wyłudzającymi informacje z wykorzystaniem sztucznej inteligencji jest używanie menedżera haseł takiego jak Keeper. Menedżer haseł nie tylko przechowuje hasła w bezpiecznym miejscu, ale także chroni informacje przed atakami wyłudzającymi informacje, jeśli ma funkcję autouzupełniania. Funkcja KeeperFill w menadżerze haseł Keeper będzie uzupełniać dane logowania tylko wtedy, gdy strona internetowa przechowywana w cyfrowym magazynie jest zgodna z odwiedzaną witryną.

Bądź na bieżąco z najnowszymi wiadomościami dotyczącymi cyberbezpieczeństwa

Sztuczna inteligencja wciąż się rozwija, a cyberataki zmieniają się w czasie, dlatego ważne jest, aby otrzymywać najnowsze wiadomości i informacje o wydarzeniach w dziedzinie cyberbezpieczeństwa. Codziennie publikowane są liczne blogi i artykuły mające na celu omówienie najnowszych przypadków naruszenia danych, oszustw i nowych cyberzagrożeń. Łatwym sposobem na zdobywanie tej wiedzy jest śledzenie kilku blogów i stron internetowych poświęconych cyberbezpieczeństwu, w tym Dark Reading, SecurityWeek i Blog Keeper Security.

Unikaj ataków phishingowych opartych na sztucznej inteligencji

Każdy rodzaj ataku wyłudzającego informacje może spowodować kradzież prywatnych informacji lub pieniędzy przez cyberprzestępcę, ale ataki wyłudzające informacje oparte na sztucznej inteligencji szybko ewoluują i stają się jeszcze bardziej niebezpieczne. Chroń siebie i swoją prywatność, unikając niechcianych linków lub załączników, nie udostępniając danych osobowych w odpowiedzi na niechciane prośby, tworząc bezpieczne słowo i korzystając z menedżera haseł.

Już dziś rozpocznij korzystanie z bezpłatnej 30-dniowej wersji próbnej narzędzia Keeper Password Manager, aby chronić hasła i konta internetowe przed cyberprzestępcami.