Ta metoda odkłada oszustwo "na wnuczka" czy "na policjanta" do lamusa. Z pomocą sztucznej inteligencji przestępcy mogą udawać naszych szefów albo konsultantów z banku, żeby opróżnić nasze konta. Nawet wasze głosy mogą być skradzione. Zdaniem ekspertów jest niezbędne poczynienie kilku kroków ku zwiększeniu bezpieczeństwa, ale skuteczne będzie także… zwalczanie ognia ogniem.

Jak bronić się przed phishingiem?

AI ułatwia zadanie przestępcom przy atakach phishingowych, czyli stosowania "przynęty" w postaci fałszerstwa, aby "złowić" nasze wrażliwe dane i pieniądze. Dokładna skala zjawiska nie jest znana, ale mamy przykład z Korei Południowej – grupy etycznych hakerów SK Shieldus i EQST (tzw. białe kapelusze, czyli specjaliści włamujący się do systemów cybernetycznych, żeby wyłapać błędy i lepiej je zabezpieczyć) ustaliły, że najbardziej na takie ataki narażona jest branża finansowa.

W ich kraju 20,6 proc. wszystkich ataków z użyciem tej technologii odnosiło się do sektora finansowego, 18 proc. do informatycznego, a 16,4 proc. do produkcyjnego. W skali globalnej ustalili, że najwięcej cyberataków zachodzi w sektorach publicznym i administracyjnym – 26,7 proc., a IT i komunikacja są na drugim miejscu z 22,4 proc. wszystkich ataków.

– Sztuczna inteligencja, która wyewoluowała pod postacią jej generatywnej wersji, czyli takiej, która na podstawie dostarczonych danych potrafi wykreować nowe treści, jest znacznym ułatwieniem dla wrogich działań. To już nie tylko materiały pisane, ale też wideo i audio, które może zmylić nawet czujną osobę. Tego typu cyberataki stają się coraz bardziej wyszukane i zaawansowane – podkreśla w rozmowie z INNPoland.pl Tomasz Dwornicki, prezes zarządu firmy Hostersi.

Nowa generacja ataków phishingowych generowanych przez sztuczną inteligencję ujawnia się pod postacią e-maili, SMS-ów czy wiadomości głosowych. Atakują na masową skalę w bezprecedensowy sposób, bo dzięki sztucznej inteligencji nawet osoby z innego kręgu kulturowego i językowego mogą tworzyć treści bez charakterystycznych dla "starej ery" ataków phishingowych literówek, błędów stylistycznych i innych, które łatwo było wyłapać i stanowiły dzwonek alarmowy. Czyli wszystkich znaków szczególnych, do których zdążyliśmy się przyzwyczaić, przez co ich brak usypia naszą czujność.

Oprócz oszukiwania ludzi przez odtworzone głosy i nagrania, generatywne chatboty AI mogą zostać wykorzystane do tworzenia kodów złośliwego oprogramowania lub uzyskiwania dostępu do informacji, takich jak dane osobowe, ale nawet procedury wytwarzania leków. Jedna firma miała stracić w ten sposób 26 mln dolarów, ponieważ "dyrektor" na sfałszowanym filmie nakazał pracownikom wykonać przelewy bankowe.

Musimy pamiętać, że produkty, które mają w sobie rozwiązania związane z AI, nie są jeszcze doskonałe. Generatywna AI uczy się na danych, bez nich jest ślepa, ale musi posiadać zabezpieczenia przed dzieleniem się wszystkimi dostępnymi danymi, a już na pewno nie może podawać dalej informacji, które wpisał do rozmowy z nim inny użytkownik. Pośpiech, żeby wprowadzać nowe rozwiązania, jest ogromny. Stąd błędy i przyznawanie dostępów osobom czy nawet botom, które nie są do tego uprawnione. Straty są jednak ogromne. Dotykają nie tylko indywidualnych użytkowników, ale też firmy. Te mają problem nie tylko, gdy stracą pieniądze, ale też, gdy to ich słabe zabezpieczenia spowodują straty u ich klientów.Tomasz Dwornickiprezes zarządu firmy Hostersi.

Jak zwiększyć cyberbezpieczeństwo w firmie?

Eksperci od bezpieczeństwa namawiają do stworzenia "kultury bezpieczeństwa". Chodzi o zwiększanie świadomości takich zagrożeń, ale również o zaangażowanie użytkowników sieci i kwestionowanie podejrzanych poleceń. 

Wiele firm posługuje się terminem "zarządzania ryzykiem ludzkim" (HRM), co można przełożyć na cyberbezpieczeństwo. Firma badawczo-konsultingowa Forrester opisuje HRM jako "rozwiązania, które zarządzają i ograniczają ryzyko cyberbezpieczeństwa stwarzane przez ludzi i dla ludzi poprzez: wykrywanie i mierzenie ludzkich zachowań związanych z bezpieczeństwem oraz ilościowe określanie ryzyka ludzkiego; inicjowanie interwencji politycznych i szkoleniowych w oparciu o ryzyko ludzkie; edukowanie i umożliwianie pracownikom ochrony siebie i swojej organizacji przed cyberatakami; budowanie pozytywnej kultury bezpieczeństwa."

– Po pierwsze, musimy przeszkolić użytkowników w zakresie wykrywania nowej generacji wyrafinowanych ataków phishingowych. Muszą wiedzieć, jak uwierzytelnić otrzymane źródło i treść. Muszą poznać nowe sygnały alarmowe. Mieć świadomość, że już nie są to literówki, a niespójności w jakości dźwięku lub obrazu, niedopasowana synchronizacja ruchu warg lub głosu, nienaturalne ruchy twarzy, inne nietypowe zachowanie – opisuje w rozmowie z naszą redakcją Dwornicki.

Specjaliści z IT podkreślają, że firmy tworzące oprogramowanie powinny również zapewnić narzędzia, procesy i techniki weryfikacji autentyczności wiadomości. Użytkownik musi mieć ścieżkę, gdy chce zakwestionować zasadność komunikatów, które otrzymuje, a także platformę, gdzie może zgłaszać nawet rzekome deepfakes.

Ogień zwalczaj ogniem

Oddzielnym tematem jest użycie narzędzi AI do wyłapywania ataków stworzonych z użyciem samego AI. Ma ono przede wszystkim zautomatyzować wiele procesów dla zespołów IT podczas wymiany, modyfikacji lub aktualizacji systemów sieciowych, co zmniejszy prawdopodobieństwo błędu ludzkiego przy standardowych atakach hakerów.

– Ogromna siła sztucznej inteligencji w zakresie cyberbezpieczeństwa polega na jej zdolności do ciągłego przetwarzania ogromnych ilości danych. Dzięki temu potrafią wyłapać nietypowe działania często szybciej od człowieka, który zaalarmowany może od razu zareagować. AI może być więc odpowiednikiem hakerów w białym kapeluszu, a na pewno jest dla nich istotnym narzędziem wspomagającym wykrywanie błędów – podsumowuje prezes Hostersów.