Umelá inteligencia pomáha hackerom vytvárať presvedčivejšie podvody než kedykoľvek predtým.
Ešte pred pár rokmi boli phishingové e-maily plné gramatických chýb a hneď „na prvú“ pôsobili podozrivo. Dnes je všetko inak.
Umelá inteligencia (AI) zmenila pravidlá hry. A toto tvrdenie potvrdzujú aj dáta: vďaka AI sa dramaticky zvyšuje úspešnosť kyberútokov. Dnes čelíme na nerozoznanie naklonovaným hlasom, deepfake videám a e-mailom, ktoré poznajú nielen naše pracovné pozície, ale aj záujmy, prezývku či štýl komunikácie.
Ako AI mení phishing
Útočníci dnes vďaka generatívnej AI píšu e-maily, ktoré na nás pôsobia prirodzene a dôveryhodne. Navyše, AI je taká „šikovná“, že útočníkom pomáha tieto e-maily odoslať v správnom čase a kontexte. A zatiaľ čo klasický phishingový e-mail sa rozposiela na množstvo ľudí naraz, dá sa povedať, že „spear phishing“ – teda cielený útok prispôsobený konkrétnej osobe, je až chirurgicky presný.
Svedkami takejto rozsiahlej kampane sme boli v júni tohto roku. Útočníci za pomoci AI analyzovali verejné vystúpenia a štýl komunikácie manažérov v európskych firmách. Následne zasielali e-maily, opäť vytvorené pomocou AI, ktoré pôsobili tak, že prišli od nadriadených alebo dôležitých kolegov. Cieľom bolo získať prihlasovacie údaje alebo finančné prostriedky.
Hlas, ktorý nikdy nevolal
Phishing ako podvod pozná už takmer každý, no deepfake si mnohí stále spájajú len s filmami. V skutočnosti však deepfake hovory – umelo generované hlasy, ktoré napodobňujú konkrétne osoby, patria medzi najznepokojujúcejšie trendy.
Jeden z prvých verejných útokov tohto druhu v Európe sa stal v UK. Britská energetická spoločnosť prišla o 243 000 dolárov, keď útočníci použili zvuk generovaný AI na napodobnenie hlasu nemeckého CEO spoločnosti. Podvodníci oklamali britského CEO, ktorý previedol finančné prostriedky maďarskému dodávateľovi.
Peniaze následne „putovali“ cez účty v Maďarsku a Mexiku, odkiaľ nadobro zmizli.
O tomto druhu podvodu vie svoje aj bývalý majiteľ futbalového klubu Inter Miláno. Keď sa v jeho telefóne ozval hlas, ktorý predstieral, že je taliansky minister obrany a žiada o finančné prostriedky na záchranu unesených novinárov, majiteľ Interu neváhal. A za pár hodín prišiel takmer o jeden milión eur.
V obidvoch prípadoch bol klonovaný hlas dokonalý. Intonácia a regionálny prízvuk. A to všetko vďaka AI.
Slovenský deepfake
Na Slovensku sme čelili AI manipulácii počas parlamentných volieb v roku 2023. Na sociálnych sieťach sa šírila nahrávka – rozhovor známeho politika a novinárky.
Obsah nahrávky? Údajný plán na zmanipulovanie výsledku volieb a zvýšenie cien piva. Hoci to bol podvod, realistické hlasy a prirodzená intonácia spôsobili, že mnohí slovenskí voliči tejto nahrávke uverili.
Kúpte si AI útok
Dnes si vďaka službám ako WormGPT alebo FraudGPT môže AI-asistovaný phishing objednať ktokoľvek. Stačí zadať cieľovú skupinu, jazyk a cieľ útoku. A AI sa postará o zvyšok: vygeneruje dokonalý e-mail, SMS či hlasovú správu.
Máte záujem o phishingový web? Aj na to existujú platformy, ktoré vám navyše poskytnú aj štatistiky úspešnosti jednotlivých kampaní.
Od februára tohto roku bola napríklad platforma „Lovable“ (známy AI‑web builder) zneužívaná na generovanie falošných webov bánk, e-mailových klientov či e-shopov. Hackeri ju využívali na spúšťanie rozsiahlych kampaní, ktoré zasiahli tisíce organizácií po celej Európe.
Stroj alebo človek?
Kyberzločinci na nás útočia stále dokonalejšou technológiou. Ak si ale myslíte, že odpovedať by sme mali rovnako – ešte lepšou technológiou, dovolím si z časti nesúhlasiť. Najlepšou obranou totiž nie je technológia. Ešte stále je ňou človek. Vzdelaný, informovaný a kriticky mysliaci zamestnanec je dnes najdôležitejšou súčasťou kybernetickej ochrany vašej firmy.
Preto by ste mali investovať do pravidelných školení, simulácie phishingových útokov či viackrokovej autentifikácie.
Slepá dôvera
Samozrejme, je na mieste nasadiť aj AI nástroje na obranu. Umelá inteligencia zohráva dôležitú úlohu v rôznych bezpečnostných nástrojoch, kde pomáha pri včasnej detekcii hrozieb či podozrivých vzorcov správania. Okrem toho existujú aj riešenia, ktoré dokážu detegovať deepfake hlas alebo obraz, alebo aj systémy, ktoré rozpoznávajú podozrivý štýl komunikácie v e-mailoch.
Pri rozhodovaní by sme sa však nemali spoliehať výlučne na AI. Stáva sa, že ľudia nahrávajú obsah podozrivých – no v skutočnosti legitímnych e-mailov, do nástrojov ako ChatGPT. Čo môže následne viesť k úniku citlivých informácií. Preto tu platí dvojnásobne: technológia pomáha, ale rozhodovať by mal človek.
Budúcnosť patrí paranoji
Hranice medzi realitou a fikciou sa postupne stierajú. A to, čo sme donedávna vídali len vo filmoch a považovali za sci-fi, je dnes už súčasťou kybernetickej praxe.
Či už ide o hlas, video, e-mail alebo falošný web – dôvera sa postupne vytráca. A práve preto je dôležité vždy si prehodnotiť, komu veríme a ako a s kým komunikujeme.
A hoci sa svet už posunul míľovými krokmi vpred, stále platí staré slovenské „dôveruj, ale preveruj!“
Autor: Silvia Strežová, void SOC