ETR

Oszust nie musi już być „techniczny”. Wystarczy, że umie dobrze odegrać emocje: pilność, strach, wstyd albo presję autorytetu. A technologia robi resztę — dopasowuje język, podmienia głos, generuje obraz, tworzy wiarygodne „dowody” i prowadzi Cię do jednego celu: żebyś kliknął, podał dane albo przelał pieniądze.

To właśnie dlatego współczesne oszustwa są tak skuteczne: nie atakują Twojego komputera. Atakują Twoje decyzje.

Dlaczego oszustwa stały się „lepsze” i trudniejsze do wykrycia?

Wchodzisz w link z SMS-a, bo trzeba „dopłacić do paczki”. Odbierasz telefon i kontynuujesz rozmowę, bo ktoś mówi pewnym głosem i zna Twoje imię. Dostajesz wiadomość na komunikatorze: „to ja, zmieniłem numer, wyślij szybko BLIK”.

To nie przypadek. Oszuści coraz częściej używają nowych technologii (w tym AI), żeby ich akcje wyglądały wiarygodnie i „normalnie”. Skala problemu też jest problemem: w podsumowaniu CERT Polska za 2024 rok liczba zgłoszeń przekroczyła 600 tys., a najczęstszym incydentem był phishing.

Nowe technologie = nowa era przestępst

Kiedyś oszustwa zdradzały się błędami językowymi i toporną grafiką. Dziś technologia wyrównuje poziom. Narzędzia generatywne potrafią pisać „po ludzku”, dopasować styl, a czasem nawet podszyć się głosem.

Europol w raporcie IOCTA 2024 nie owija w bawełnę: wspierana przez AI cyberprzestępczość dopiero się rozpędza (z ang. „AI-assisted cybercrime has only just begun”).

W praktyce oznacza to jedno: oszustwa są coraz lepiej zaprojektowane pod Twoje emocje i nawyki.

Jakie „nowe technologie” najczęściej pomagają oszustom?

Nie chodzi o to, że pojawiły się całkiem nowe cele. Cel jest ten sam: Twoje dane, dostęp do kont, pieniądze. Zmieniły się narzędzia, które ułatwiają manipulację.

  1. AI do podszywania się pod ludzi
    FBI ostrzegało przed kampanią, w której sprawcy podszywają się pod wysokich urzędników, wykorzystując m.in. AI-generowane wiadomości głosowe i tekstowe, by budować zaufanie i wyłudzać dane do logowania. Ale to nie musi być wcale osoba publiczna. Pomyśl, czy przelejesz pieniądze, jeśli usłyszysz głos swojego dziecka proszący o 100 zł? Na pewno twoja czujność będzie uśpiona, niestety to już nie musi być Twoje dziecko, a tylko jego głos. Oszustowi wystarczy już 3 sekundowa próbka głosu, żeby z powodzeniem przemówić do ciebie głosem dowolnej osoby, której nagranie głosu zdobył. Dlatego zanim uwierzysz - zweryfikuj.
  2. Automatyzacja phishingu/smishingu
    Wyobraź sobie skalę „hurtowych” kampanii, jeśli w 2024 roku CERT Polska mógł zablokować ok. 1,5 mln złośliwych SMS-ów dzięki zgłoszeniom użytkowników...
  3. Fałszywe strony i „legalnie wyglądające” płatności
    Oszuści kopiują bramki płatności, panele logowania, strony dopłat do przesyłek czy „wezwania” do zapłaty. Użytkownik ma wrażenie, że robi coś standardowego — a tak naprawdę oddaje dane lub pieniądze.

cyberprzestępcy

Najpopularniejsze scenariusze, które działają 

W większości przypadków schemat jest prosty: pojawia się pilność, autorytet albo strach, a Ty masz działać szybko. Oszuści próbują uderzyć w Twoje emocje, odnoszą się więc do socjologii, bo wciąż niestety najsłabszym elementem systemu zabezpieczeń jest człowiek :(

W polskim podsumowaniu CERT Polska jako przykłady socjotechniki wymieniane są m.in. oszustwa w komunikatorach i fałszywe wezwania „od instytucji”. To ważne, bo oszustwo rzadko wygląda dziś jak „atak hakerski”. Częściej wygląda jak codzienna sytuacja: paczka, bank, mandat, znajomy, pracodawca. I jest to zabieg celowy, który ma uśpić Twoją czujność. Pół biedy, jeśli nie masz samochodu, wtedy trudniej będzie złapać Cię na mandat, ale konto w banku mamy obecnie wszyscy.

Wiele banków wprowadziło opcję "sprawdź czy dzwoni do Ciebie pracownik banku". Wystarczy, że zalogujesz się na swoje konto i klikniesz w tę opcję - uzyskasz informację czy jest do Ciebie wykonywane połączenie z banku, bez konieczności dzwonienia do banku. A jeśli Twój bank nie ma takiej opcji, to ważne żebyś to ty zadzwonił sprawdzić do banku, a nie czekał na połączenie, bo iny konsultant zadzwoni - przestępcy mogą dzwonić z dowolnego numery z dowolną etykietą, nawet jako policja :( A najlepiej, jeśli możesz zadzwonić z innego urządzenia, żeby nie przechwycili Twojego połączenia.

Jak się chronić, gdy oszust brzmi wiarygodnie?

Najskuteczniejsza zmiana jest zaskakująco prosta: zabierz oszustowi tempo.

Jeśli ktoś prosi o pieniądze lub dane „na już”, potraktuj to jak czerwone światło. W kampaniach opisywanych przez FBI celem jest właśnie zbudowanie zaufania, a potem przekierowanie Cię na złośliwą platformę kradnącą loginy.

Zamiast szukać „magicznych oznak” deepfake’a, działaj procedurą:

  • Zawsze weryfikuj drugim kanałem, ale takim, który Ty wybierasz (oddzwaniasz na znany numer, piszesz do kontaktu z książki adresowej, nie z linku).
  • Nie klikaj w linki z presją („dopłać w 30 minut”, „konto zostanie zablokowane”).
  • Nie podawaj kodów (SMS, BLIK, jednorazowe) nikomu „do potwierdzenia” np. pod czas rozmowy telefonicznej - bank/instytucja nie potrzebuje ich w ten sposób.
  • Jeśli to dotyczy pracy: ustal z zespołem prostą zasadę „podwójnej autoryzacji” przelewów i zmian numeru konta (wystarczy telefon do osoby decyzyjnej na znany numer).

Brzmi prosto, ale działa, bo uderza w sedno: oszust liczy na automatyzm.

 

Co zrobić, jeśli kliknąłeś / podałeś dane / zrobiłeś przelew?

Tu liczą się minuty, nie godziny.

Jeśli podałeś dane logowania — zmień hasło (także tam, gdzie było podobne) i włącz dodatkowe zabezpieczenia kont.

Jeśli podałeś dane karty lub zrobiłeś przelew — kontakt z bankiem od razu (infolinia + zastrzeżenie).

Zgłoś incydent — bo zgłoszenia realnie pomagają ograniczać skalę kampanii (to m.in. dzięki zgłoszeniom SMS możliwe było blokowanie złośliwych wiadomości).

Dlaczego warto o tym mówić głośno?

Bo „wstyd” to paliwo oszustów. A prawda jest taka: technologia sprawiła, że te ataki są bardziej wiarygodne i trafiają w codzienne sytuacje. Europol i ENISA jasno pokazują trend profesjonalizacji i rosnącej skali zagrożeń w Europie.

Im szybciej zaczniesz działać nawykami bezpieczeństwa, tym mniejsza szansa, że ktoś Cię złapie „na odruch”.

Chcesz wiedzieć więcej?

kampanie portal seo wcag miasto gmina www bip crm