Socjotechnika i phishing 2.0 - jak AI zmienia oblicze cyberprzestępczości

Przeczytaj także: Trend Micro: Rok 2024 może przynieść serię ataków opartych o AI

Raport Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA): „Threat Landscape 2024” ujawnia, że AI jest wykorzystywana w aż 17% wszystkich zaawansowanych zagrożeń typu APT (Advanced Persistent Threats), a w przypadku phishingu — wzrost użycia AI przekroczył 550% rok do roku.

Eksperci ostrzegają: w nadchodzących latach cyberataki będą nie tylko bardziej realistyczne, ale i trudniejsze do wykrycia tradycyjnymi metodami.

Phishing 2.0: Era hiperrealistycznych oszustw

Phishing 2.0 to zupełnie nowy wymiar zagrożenia. Dzięki AI cyberprzestępcy mogą:

• Generować wiadomości i rozmowy dostosowane do języka i stylu konkretnego odbiorcy.
• Tworzyć fałszywe rozmowy audio lub wideo z przełożonymi lub członkami zarządu (deepfake phishing).
• Budować strony phishingowe nie do odróżnienia od oryginalnych.

Jak pokazuje Verizon Data Breach Investigations Report 2024, 74% incydentów naruszenia danych rozpoczyna się od phishingu, a proces ten wspierany AI jest średnio o 67% skuteczniejszy od tradycyjnych metod.

Według badania Mandiant 2024, 41% firm na świecie odnotowało próby użycia technologii deepfake w działaniach socjotechnicznych w ciągu ostatniego roku.

Ekspercka perspektywa: Świadomość i adaptacja jako kluczowe narzędzia obrony

W obliczu tak dynamicznie zmieniającego się krajobrazu zagrożeń, eksperci wskazują na trzy filary skutecznej obrony:

1. Zaawansowana analiza behawioralna i automatyzacja detekcji anomalii - klasyczne mechanizmy oparte na sygnaturach przestają być wystarczające.
2. Ciągłe szkolenia adaptacyjne i kampanie edukacyjne - użytkownicy muszą być przygotowani na rozpoznawanie nawet najbardziej realistycznych ataków.
3. Kultura bezpieczeństwa cyfrowego i model „Zero Trust" - zakładający weryfikację każdej interakcji, niezależnie od jej pozornej autentyczności.

Sztuczna inteligencja redefiniuje zagrożenia cyfrowe, tworząc ataki, które są szybkie, hiperpersonalizowane i często niemożliwe do odróżnienia od autentycznych działań biznesowych. Dlatego kluczem do bezpieczeństwa staje się dziś nie tylko zaawansowana technologia ochrony, ale również świadoma i krytyczna postawa użytkowników – komentuje Michał Płocharski, specjalista ds. cyberbezpieczeństwa w Sprint S.A., CTO w SprintTECH.

Technologie ochrony nowej generacji: przeciwdziałanie phishingowi AI

W odpowiedzi na zmieniające się zagrożenia, liderzy rynku, w tym Sprint S.A., stawiają na:

• Semantyczne bramki pocztowe oparte na dużych modelach językowych (LLM) – istnieją rozwiązania, które analizują intencję i kontekst każdej wiadomości, wychwytując nawet „payload-less” BEC oraz spear-phishing zanim trafią do skrzynek użytkowników.
• Wielowarstwową analitykę behawioralną w czasie rzeczywistym – modele ML monitorują reputację nadawców, anomalie w relacjach nadawca-odbiorca i nietypowe wzorce czasu wysyłki, aby blokować nowe kampanie phishingowe nim powstaną klasyczne sygnatury.
• Ciągłe uwierzytelnianie behawioralne (Continuous MFA) – obecnie mamy do dyspozycji platformy, które sprawdzają dynamikę pisania, ruchy myszy i kontekst urządzenia, dzięki czemu przejęcie konta po udanym phishingu jest unieruchomione w mniej niż minutę i bez udziału użytkownika.
• Detekcję deepfake audio i voice-liveness – AI wykorzystywana jest również do analizowania sygnału akustycznego, by odróżnić syntetyczny głos od mowy „na żywo”, wykrywając deepfake z wysoką skutecznością.
• Phishing-resistant passkeys i sprzętowe klucze FIDO2 – kryptograficzne poświadczenia powiązane z konkretną domeną eliminują ryzyko kradzieży haseł i kodów jednorazowych z maili lub SMS-ów.
• Zautomatyzowane playbooki SOAR oparte na ML – dzięki orkiestracji ML możemy, w krótkim czasie izolować zainfekowane konta, blokować domeny w gatewayach i cofać złośliwe wiadomości, minimalizując okno działania atakującego.
• Pełną zgodność z regulacjami UE (AI Act, NIS2) – wbudowane mechanizmy transparentności deepfake i wymuszone silne uwierzytelnianie pozwalają spełnić wymogi prawne oraz raportować incydenty zgodnie z unijnymi standardami cyberbezpieczeństwa

Wdrażane rozwiązania muszą wychodzić poza tradycyjne modele ochrony i reagować dynamicznie na zmieniające się techniki ataków.

Przyszłość cyberbezpieczeństwa: adaptacja czy porażka

Świat cyfrowy nie stoi w miejscu. W miarę jak sztuczna inteligencja ewoluuje, także cyberprzestępczość staje się coraz bardziej wyrafinowana i zautomatyzowana. W opinii specjalistów, organizacje, które nie zaadaptują się do nowej rzeczywistości — zarówno technologicznie, jak i mentalnie — staną się łatwym celem ataków.

Przyszłość cyberbezpieczeństwa to nie tylko wyścig technologiczny, ale także walka o budowanie świadomości i odporności społecznej na nowe, niewidoczne zagrożenia — podsumowuje Michał Płocharski ze Sprint S.A.