Wzory e-maili i SMS-ów służących do wyłudzania danych, romantyczne wiadomości od rzekomych biznesmenów z USA, scenariusze rozmów z „pracownikami banku”, grafiki do fałszywych reklam czy plany kampanii phishingowych — wszystko to można dziś wygenerować przy pomocy powszechnie dostępnych czatbotów. W 2024 r. CSIRT NASK (Computer Security Incident Response Team Naukowej i Akademickiej Sieci Komputerowej), który zajmuje się wykrywaniem i reagowaniem na cyberataki, odebrał 355 tys. zgłoszeń o podejrzanych SMS-ach — wobec 221 tys. rok wcześniej. Odnotowano też 140 tys. powiadomień o wiadomościach uznanych za złośliwe (w 2023 r. było ich 120 tys.).
Ataki phishingowe to najczęściej wykorzystywana metoda oszustów. Polegają na rozsyłaniu e-maili, SMS-ów lub wiadomości w komunikatorach, które mają wyłudzić dane dostępowe do kont bankowych, dane osobowe lub nakłonić do nieświadomej instalacji złośliwego oprogramowania. Wiadomości są wysyłane hurtowo, ale nie przypadkowo — często są targetowane jak klasyczne kampanie mailingowe, czyli kierowane do konkretnych grup odbiorców. Seniorzy bywają szczególnie narażeni: rzadziej orientują się w pułapkach technologicznych, są bardziej podatni na perswazję i często mają zgromadzone oszczędności, które stanowią atrakcyjny cel.
Przestępcy stosują różne scenariusze — „na wnuczka”, „na policjanta”, „na księdza”, oferują też fałszywe inwestycje (np. w spółki skarbu państwa czy złoto). Mają gotowe szablony wiadomości i skrypty rozmów, a coraz częściej wykorzystują sztuczną inteligencję do poprawiania języka i stylu. Wiedzę tę akumulują i sprzedają — w darknecie dostępne są kursy, uczące jak oszukiwać w sieci (koszt: 50–300 USD).
Reuters, we współpracy ze specjalistami z Uniwersytetu Harvarda, zbadał podatność popularnych czatbotów na tzw. prompt injection — polecenia pisane przez oszustów, pozwalające obejść zabezpieczenia i uzyskać wsparcie w przestępczych działaniach. Testy obejmowały sześć popularnych modeli. Choć każdy z nich w regulaminie zastrzega zakaz generowania treści do nielegalnych celów, w praktyce odpowiedzi bywają niespójne: ten sam model potrafi odmówić wygenerowania phishingowego tekstu, by chwilę później — po lekkim przeformułowaniu polecenia — go stworzyć. Obejście zabezpieczeń bywa możliwe, na przykład tłumacząc, że materiał jest potrzebny do „książki” lub „celów szkoleniowych”.
Dziennikarski eksperyment pokazał, że czatboty pomogły stworzyć e-mail phishingowy skierowany do osób starszych — w tym link do podstawionej strony i plan rozesłania kampanii (wskazówki dotyczące dnia i godziny). W teście e-mail rozesłano do 108 ochotników — 11% z nich otworzyło wiadomość wygenerowaną przez AI.
Modele zachowywały się różnie. Niektóre — jak ChatGPT — najpierw odmawiały współpracy, by po doprecyzowaniu celu (np. „materialy szkoleniowe”) wygenerować e-mail. Inne, jak Gemini (Google), potrafiły odmawiać tworzenia gotowych phishingowych wiadomości, ale po zmianie promptu zaczynały podawać przykłady typowych fałszywych powiadomień (banki, ministerstwa, sklepy). Inne modele były bardziej wrażliwe językowo lub tłumaczyły ograniczenia. Niektóre czatboty (np. DeepSeek) generowały wielokrotne, coraz bardziej przekonujące wersje tekstów i scenariuszy rozmów, starając się dopracować perswazyjność.
Czatboty chętnie dostarczają też porady, jak unikać oszustw, oraz gotowe materiały szkoleniowe z zakresu cyberodporności. Problem polega na tym, że te same opracowania — oglądane „oczami przestępców” — mogą posłużyć za instruktaż ataku. Sztuczna inteligencja ma trudności z rozpoznaniem i odrzuceniem bardziej zniuansowanych, kontekstowych poleceń, które mogą zostać użyte w złych celach.
Źródło: Puls Biznesu
Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.
Komentarze mogą dodawać tylko zalogowani użytkownicy.
Komentarze