AI w phishingu i deepfake'ach. Nowe zagrożenia dla firm
Sztuczna inteligencja stała się bronią cyberprzestępców. Poznaj, jak AI zmienia taktykę ataków phishingowych, deepfake'ów i CEO fraud. Raport 2025 rządu.
Sztuczna inteligencja generatywna stała się głównym narzędziem cyberprzestępców i zmieniła reguły gry dla każdej firmy w łańcuchu dostaw. Rządowe sprawozdanie z 2025 roku po raz pierwszy dokumentuje ten przełom wprost — AI jest teraz “mnożnikiem siły” dla atakujących.
Oszustwa komputerowe biją rekordy dzięki AI
Oszustwa komputerowe stanowiły aż 97 proc. wszystkich incydentów obsłużonych przez CSIRT NASK w 2025 roku, czyli ponad 253 tys. zgłoszeń. Całkowita liczba sygnałów od obywateli wyniosła 658 tys. Za tym dramatycznym wzrostem stoi przede wszystkim jedno narzędzie: generatywna sztuczna inteligencja.
Modele językowe są dziś powszechnie wykorzystywane do automatycznego generowania wysoce spersonalizowanych, bezbłędnych językowo wiadomości phishingowych. Są one trudne lub niemożliwe do odróżnienia od autentycznej korespondencji biznesowej. Znikają charakterystyczne błędy gramatyczne i składniowe, które przez lata były najprostszym sygnałem ostrzegawczym dla pracowników. Ta zmiana ma fundamentalne znaczenie — pracownicy nie mogą już polegać na tradycyjnych wskaźnikach, które wcześniej wyłapywały oszustwa.
Deepfake’i i CEO fraud — nowy wymiar zagrożenia
Równolegle technologia deepfake — syntetyczne nagrania audio i wideo — służy do podszywania się pod osoby publiczne, urzędników i kadrę zarządzającą firm. W branży logistycznej i transportu zagrożenie jest szczególnie poważne.
Oszustwo określane jako “CEO fraud” polega na tym, że atakujący podszywa się pod prezesa lub dyrektora finansowego, zlecając pilny przelew, zmianę danych bankowych lub ujawnienie wrażliwych informacji. W środowisku, gdzie decyzje finansowe podejmowane są szybko, a komunikacja z wieloma partnerami toczy się jednocześnie, taka taktyka okazuje się niezwykle efektywna.
Jak AI wspomaga cały proces ataku
Sztuczna inteligencja nie ogranicza się do tworzenia wiadomości. AI przyspiesza również etap przygotowawczy ataków:
- Automatyzuje rekonesans infrastruktury — skanuje sieci w poszukiwaniu podatności
- Identyfikuje słabe punkty — znajduje błędnie skonfigurowane usługi chmurowe i nieaktualizowane oprogramowanie
- Wspomaga pisanie złośliwych skryptów — generuje kod omijający systemy detekcji
- Tłumaczy kampanie socjotechniczne — dostosowuje ataki do różnych języków i krajów
CSIRT GOV zidentyfikował konkretny przypadek użycia interfejsów AI do generowania komend omijających automatyczne reguły detekcji na zainfekowanej stacji roboczej.
Migracja komunikacji na Signal i WhatsApp — nowa taktyka
Jeden z najistotniejszych trendów opisanych w sprawozdaniu dotyczy kanałów komunikacji i ma bezpośrednie przełożenie na codzienne funkcjonowanie firm.
CSIRT GOV zidentyfikował rosnącą liczbę kampanii socjotechnicznych, w których adwersarze nakłaniają ofiary do przeniesienia komunikacji z poczty służbowej na prywatne, szyfrowane komunikatory — Signal lub WhatsApp. Mechanizm jest prosty:
- Korporacyjna poczta elektroniczna podlega filtrom antyspamowym, systemom monitorowania i zasadom bezpieczeństwa
- Prywatny komunikator już nie
- W grupach pracowniczych na komunikatorach przetwarzane są dane wartościowe: ustalenia operacyjne, dane kontrahentów, informacje o trasach i ładunkach, dane finansowe
Zdobycie dostępu do takiej grupy lub skuteczne podszywanie się pod jednego z jej uczestników otwiera atakującemu szeroki dostęp do wrażliwych informacji organizacyjnych.
Skala zjawiska była na tyle poważna, że pełnomocnik rządu ds. cyberbezpieczeństwa wydał w 2025 roku dwa osobne komunikaty ostrzegawcze — w maju i we wrześniu — dotyczące kampanii phishingowych wymierzonych w użytkowników Signal w Polsce. Mechanizm polegał na podszywaniu się pod oficjalne konto Signal i wyłudzaniu kodów weryfikacyjnych w celu przejęcia kont.
Ataki na łańcuch dostaw — nowa strategia
Dobrze zabezpieczone podmioty kluczowe stają się coraz trudniejszymi celami bezpośrednich ataków. W odpowiedzi cyberprzestępcy kierują się w stronę słabiej chronionych kontraktorów i zewnętrznych dostawców usług IT.
Kompromitacja pojedynczego dostawcy lub serwisanta daje dostęp do środowisk informatycznych wielu instytucji rządowych i operatorów infrastruktury krytycznej jednocześnie. CSIRT GOV potwierdza intensyfikację tego trendu: w 2025 roku zidentyfikowano ataki skoncentrowane na urządzeniach brzegowych infrastruktury zewnętrznych serwisantów — stacjach roboczych pracowników firm obsługujących podmioty krytyczne.
Równolegle CSIRT MON wskazuje, że dostawcy usług chmurowych stają się szczególnie atrakcyjnymi celami z uwagi na efekt skali. Jedna skuteczna kompromitacja usługi chmurowej może zapewnić dostęp do danych i systemów wielu organizacji klienckich jednocześnie.
MŚP w centrum uwagi cyberprzestępców
Małe i średnie przedsiębiorstwa były dotychczas uznawane za cele niższego priorytetu. W 2025 roku ta kalkulacja uległa zmianie — są one coraz częściej rozpoznawane jako wartościowe wektory ataku, zarówno dla bezpośredniego zysku finansowego, jak i jako droga do strategicznego dostępu do większych organizacji w łańcuchu wartości.
Przyczyna jest operacyjna: małe organizacje dysponują:
- Mniejszymi zasobami na ochronę
- Ograniczonym dedykowanym personelem bezpieczeństwa
- Przestarzałym oprogramowaniem i sprzętem
- Nieadekwatnymi procedurami tworzenia kopii zapasowych
- Niewystarczającymi szkoleniami z zakresu świadomości bezpieczeństwa
Zautomatyzowane narzędzia skanujące sprawdzają internet w poszukiwaniu firm korzystających ze słabych lub domyślnych haseł, błędnie skonfigurowanych usług chmurowych i nieaktualizowanego oprogramowania. Wyniki są katalogowane i sprzedawane na forach przestępczych, tworząc “trwały krajobraz zagrożeń, w którym małe organizacje napotykają niemal ciągłą presję ataków”.
Cybercrime-as-a-Service — usługi dla każdego
Gwałtowny wzrost liczby i skuteczności ataków nie wynika wyłącznie z AI. Równoległym czynnikiem jest dojrzałość modelu Cybercrime-as-a-Service (CaaS) — ekosystemu, w którym specjalistyczne narzędzia przestępcze są dostępne jako usługi subskrypcyjne dla podmiotów bez zaawansowanych kompetencji technicznych.
W ramach tego ekosystemu funkcjonują:
- Ransomware-as-a-Service — gotowe zestawy do przeprowadzenia ataku szyfrującego
- Phishing-as-a-Service — gotowe kampanie wyłudzające dane
- Brokerzy dostępu początkowego (IAB) — podmioty, które uzyskują nieautoryzowany wejście do systemów firm, a następnie sprzedają ten dostęp innym grupom przestępczym po relatywnie niskich cenach na nielegalnych forach
Model ten radykalnie obniżył barierę wejścia dla cyberprzestępców. Nie trzeba już być zaawansowanym hakerem — wystarczy subskrypcja.
Co to oznacza dla Ciebie i Twojej firmy
Transformacja krajobrazu zagrożeń cyberbezpieczeństwa ma kilka kluczowych implikacji:
Dla pracowników: tradycyjne sygnały ostrzegawcze (błędy gramatyczne w wiadomościach) już nie działają. Musisz być bardziej czujny wobec każdej wiadomości wymagającej podjęcia szybkiej decyzji finansowej lub ujawnienia wrażliwych danych.
Dla małych firm: jesteś teraz w centrum uwagi atakujących. Inwestycja w podstawowe bezpieczeństwo — aktualizacje oprogramowania, silne hasła, kopie zapasowe, szkolenia pracowników — nie jest opcjonalna.
Dla dużych organizacji: twój łańcuch dostaw jest słabszym ogniwem. Atakujący będą celować w dostawców, serwisantów i podwykonawców. Musisz weryfikować ich praktyki bezpieczeństwa.
Dla wszystkich: komunikacja na prywatnych komunikatorach to nie bezpieczeństwo — to zagrożenie. Poczta służbowa z filtrowaniem i monitorowaniem jest bezpieczniejsza niż Signal czy WhatsApp dla wrażliwych rozmów biznesowych.
Najczęstsze pytania
Jak sztuczna inteligencja zmienia ataki phishingowe?
AI generuje bezbłędnie napisane, spersonalizowane wiadomości phishingowe, które są nie do odróżnienia od autentycznej korespondencji biznesowej. Znikają błędy gramatyczne, które przez lata były najprostszym sygnałem ostrzegawczym dla pracowników.
Co to jest CEO fraud i jak go rozpoznać?
CEO fraud to oszustwo, w którym atakujący podszywa się pod prezesa lub dyrektora finansowego (czasem przy użyciu deepfake'ów), zlecając pilny przelew lub zmianę danych bankowych. Szczególnie groźne w firmach logistycznych, gdzie decyzje finansowe podejmowane są szybko.
Dlaczego cyberprzestępcy nakłaniają pracowników do Signal i WhatsApp?
Poczta służbowa podlega filtrom antyspamowym, monitorowaniu i zasadom bezpieczeństwa. Prywatne komunikatory takie jak Signal czy WhatsApp nie mają tych zabezpieczeń, co daje atakującym dostęp do wrażliwych danych operacyjnych i finansowych.
Które firmy są najbardziej zagrożone atakami AI?
Małe i średnie przedsiębiorstwa (MŚP) są coraz częściej celami ataków ze względu na ograniczone zasoby na ochronę, przestarzałe oprogramowanie, brak dedykowanego personelu bezpieczeństwa i niewystarczające szkolenia pracowników.
Co to jest Cybercrime-as-a-Service (CaaS)?
CaaS to ekosystem, w którym specjalistyczne narzędzia przestępcze (ransomware, phishing, dostęp do systemów) są dostępne jako usługi subskrypcyjne dla osób bez zaawansowanych kompetencji technicznych, co radykalnie obniżyło barierę wejścia dla cyberprzestępców.
Na podstawie: Trans.INFO. Tekst opracowany redakcyjnie.