Zagrożenia cyberbezpieczeństwa: jak AI zmienia świat oszustw telefonicznych
W dziedzinie cyberbezpieczeństwa zagrożenia online wspierane przez sztuczną inteligencję mają realny wpływ na osoby prywatne i firmy na całym świecie. Tradycyjne metody phishingu ewoluują dzięki wykorzystaniu narzędzi AI, stając się coraz częstsze, bardziej wyrafinowane i trudniejsze do wykrycia. Szczególnie niepokojąca jest tak zwana "AI vishing".
Czym jest AI vishing?
AI vishing to nowoczesna forma oszustwa głosowego (vishingu), w której przestępcy podszywają się pod zaufane osoby, np. pracowników banków lub działów pomocy technicznej, aby nakłonić ofiary do przelewów pieniężnych lub ujawnienia dostępu do kont.
Sztuczna inteligencja ulepsza te oszustwa dzięki technologiom takim jak klonowanie głosu i deepfake’i, które idealnie imitują głosy znanych osób. Przestępcy mogą też automatyzować połączenia telefoniczne, co pozwala im atakować wiele osób w krótkim czasie.
Przykłady AI vishingu w praktyce
Ataki z użyciem AI vishingu są skierowane zarówno do zwykłych osób, jak i firm. Ich skuteczność rośnie – liczba Amerykanów, którzy stracili pieniądze przez vishing, wzrosła o 23% między 2023 a 2024 rokiem. Poniżej kilka głośnych przypadków.
Oszustwo na włoskich biznesmenów
W 2025 roku oszuści wykorzystali AI, by podszyć się pod głos włoskiego ministra obrony, Guido Crosetto, i wyłudzić pieniądze od prominentnych przedsiębiorców, w tym projektanta Giorgio Armaniego i współzałożyciela Prady, Patrizio Bertelliego.
Podając się za ministra, twierdzili, że potrzebują pilnej pomocy finansowej w sprawie uwolnienia porwanych dziennikarzy na Bliskim Wschodzie. Jedyną osobą, która dała się oszukać, był były właściciel Interu Mediolan, Massimo Moratti – na szczęście policja odzyskała skradzione środki.
Ataki na branżę hotelarską i turystyczną
Według Wall Street Journal, pod koniec 2024 roku odnotowano wzrost ataków AI vishing na hotele i firmy turystyczne. Oszuści udawali agentów podróży lub dyrektorów korporacyjnych, aby wyłudzić od personelu poufne dane lub dostęp do systemów.
Działali w godzinach największego obłożenia, nakłaniając pracowników do otwarcia złośliwych załączników. Dzięki realistycznemu naśladownictwu głosów partnerów biznesowych, takie oszustwa stały się poważnym zagrożeniem.
Oszustwa na "miłosnej" podstawie
W 2023 roku przestępcy wykorzystali AI do imitowania głosów członków rodzin w niebezpieczeństwie, wyłudzając od starszych osób około 200 000 dolarów. Dzięki idealnemu odwzorowaniu głosów bliskich, oszustwa te były niemal niewykrywalne. Od tamtej pory technologia klonowania głosu stała się jeszcze bardziej zaawansowana.
AI Vishing jako usługa
Rozwój AI vishingu w ostatnich latach napędza model "Vishing-as-a-Service" (VaaS). Subskrypcje obejmują m.in. fałszowanie numerów, dostosowywane scenariusze rozmów i automatycznych agentów, co pozwala przestępcom przeprowadzać masowe ataki.
Firma Fortra śledzi działalność PlugValley, jednego z głównych graczy na rynku AI VaaS. Dzięki temu wiemy, jak zaawansowane stały się współczesne oszustwa głosowe.
PlugValley – jak działa usługa AI vishingu?
Bot PlugValley generuje realistyczne głosy, które mogą na bieżąco dostosowywać się do rozmówcy, imitować ludzkie wzorce mowy, fałszować numery telefonów, a nawet dodawać odgłosy tła, jak w call center. To wszystko sprawia, że oszustwa są niezwykle przekonujące i ułatwiają kradzież danych bankowych oraz haseł jednorazowych (OTP).
PlugValley eliminuje bariery techniczne dla cyberprzestępców, oferując gotowe narzędzia za niewielką miesięczną opłatą.
Dostawcy usług VaaS, tacy jak PlugValley, nie tylko prowadzą oszustwa – industrializują phishing. To nowy poziom inżynierii społecznej, który pozwala przestępcom wykorzystywać uczenie maszynowe (ML) na masową skalę.
Jak chronić się przed AI vishingiem?
Ataki z użyciem AI będą coraz częstsze i bardziej wyrafinowane. Dlatego firmy powinny wdrażać strategie ochronne, takie jak szkolenia pracowników, zaawansowane systemy wykrywania oszustw i monitoring zagrożeń w czasie rzeczywistym.
Osoby prywatne mogą stosować się do następujących zasad:
- Bądź ostrożny wobec nieoczekiwanych połączeń – zwłaszcza jeśli rozmówca prosi o dane osobowe lub finansowe. Instytucje rzadko żądają takich informacji telefonicznie.
- Sprawdzaj tożsamość dzwoniącego – jeśli ktoś podaje się za przedstawiciela firmy, skontaktuj się z nią bezpośrednio, używając oficjalnych kanałów. WIRED radzi ustalić z rodziną hasło, które pomoże wykryć oszustwa.
- Ogranicz udostępnianie informacji – nie podawaj wrażliwych danych, gdy dzwoni nieznana osoba, szczególnie jeśli wywiera presję czasową.
- Edukuj siebie i innych – znajomość metod vishingu to klucz do obrony przed inżynierią społeczną.
- Zgłaszaj podejrzane połączenia – informowanie odpowiednich instytucji pomaga śledzić i zwalczać oszustwa.
Wszystko wskazuje na to, że AI vishing zostanie z nami na dłużej. Wraz z rozwojem deepfake’ów i modeli "as-a-service", każda organizacja może stać się celem ataku.
Kluczowe są szkolenia pracowników i systemy wykrywania oszustw. Nawet doświadczeni specjaliści od bezpieczeństwa mogą dać się oszukać realistycznym scenariuszom AI vishingu. Dlatego kompleksowa strategia ochrony, łącząca technologię z czujnością ludzi, jest niezbędna, aby zminimalizować ryzyko.