#CyberMagazyn: Walka ze scamem. Z góry skazana na porażkę?

W czasie V edycji konferencji Cyber24 Day, organizowanej przez naszą redakcję dyskutowaliśmy między innymi o bezpieczeństwie finansowym w sieci, o tym, jak walczyć ze scamem i czy w uda się kiedykolwiek z nim wygrać. W debacie wzięli udział: dr inż. Radosław Nielek, dyrektor NASK-PIB; Monika Kamińska, CEO Truesty; Paweł Szulik ze Związku Banków Polskich oraz Agata Ślusarek z CSIRT KNF.

Rozwój oszukańczych treści w postaci m.in. reklam wykupionych na platformach mediów społecznościowych napędza także sztuczna inteligencja. W jaki sposób już może wpływać na skalę tego zjawiska?

Dr inż. Radosław Nielek, dyrektor NASK-PIB zwrócił uwagę, że sztuczna inteligencja jest narzędziem jak „każde inne” i bardzo użytecznym, więc może być wykorzystana zarówno w dobrym, jak i złym celu.

„Może być wykorzystywana na przykład do generowania różnych rodzajów ataków: od deepfake«ów przez content tekstowy, jak scamy mailowe. Może być też wykorzystywana z perspektywy tego, jak pracuje CERT Polska, gdzie działa CERT Bot. Za pomocą tego narzędzia, w odniesieniu do części contentu będzie można automatycznie klasyfikować, starać się odpowiadać na incydenty, grupować zgłoszenia. Widzę spory potencjał do tego, aby robić to więcej i szerzej” – ocenił.

Natomiast Agata Ślusarek z CSIRT KNF zgodziła się ze stwierdzeniem, że wszystko zależy od tego, kto użyje AI. „Jeżeli chodzi o przestępców - co analizujemy w CSIRT KNF - to faktycznie widać wykorzystanie sztucznej inteligencji przede wszystkim w przypadku fałszywych inwestycji. Pewnie wszyscy też kojarzą scenariusz, w którym możemy rzekomo zainwestować w AI. W drugim kontekście oszuści wykorzystują AI do robienia filmików deepfake’owych - faktycznie, tego jest też bardzo dużo. Myślę jednak, że warto sobie zadać pytanie, czy tak naprawdę muszą to robić. W ich działaniu na razie widać pewną ciekawość, bo nawet jeśli jej nie użyją, to niestety ludzie i tak dadzą się nabrać na scenariusze, które są znane od lat” – stwierdziła ekspertka.

Jej zdaniem, powinniśmy pójść w stronę rozwoju narzędzi AI do przeciwdziałania i analizowania scamów, ale trzeba robić to ostrożnie, by „nie zostawić wszystkiego botowi”.

„Po drugie, musimy mieć ludzi, którzy rozumieją jak to robić, a myślę, że takich specjalistów na rynku na razie mamy niewielu” – zaznaczyła Agata Ślusarek.

Jednak według ekspertki, ludzie wciąż „łapią się” na tańsze i znane sposoby oszustw – bez wykorzystania w ich schematach sztucznej inteligencji. „Co nie znaczy, że przestępcy nie patrzą w tę stronę, bo tworzą przecież modele sztucznej inteligencji takie jak WormGPT, FraudGPT, ScamGPT, które są narzędziami stworzonymi przez przestępców do kampanii na szeroką skalę” – podsumowała.

Z kolei Monika Kamińska dodała, że jeżeli nie przygotujemy się dzisiaj do tego typu zagrożeń, nie stworzymy odpowiedniego oprogramowania, to „w niedalekiej przyszłości będziemy bezbronni”.

Modele AI coraz lepsze

Dyrektor NASK zwrócił uwagę, że duże modele językowe (LMM) są coraz lepsze. Z tego powodu przestępcy coraz sprawniej w oszustwach phishingowych tłumaczą tekst z języka obcego, co utrudnia potencjalne rozpoznanie scamu.

„Wcześniej jakość tłumaczenia była taka, że od razu było widać, że pisał to ktoś, kto ma duże deficyty w kontekście posługiwania się językiem. Łatwo było to rozpoznać. Teraz coraz częściej widzimy, że wiadomości phishingowe są generowane z wykorzystaniem LLM-ów i to w trudniejszych językach, ale bardzo poprawiła się ich poprawność gramatyczna. Są obszary, gdzie AI już się pojawia, ale w ogólnym ujęciu dla przestępców ta technologia wydaje się być jeszcze za droga względem przychodów, które mogą mieć ze standardowych metod i prób oszustwa"
dr inż. Radosław Nielek

Spoofing z wykorzystaniem AI

Paweł Szulik z ZBP ocenił, że musimy się przygotowywać na to, że takie rozwiązania, jak AI niestety będą wykorzystywane częściej, mimo że na ten moment „przestępcy sięgają po najniżej zawieszone owoce”.

„Z jednej strony przez lata edukowaliśmy naszych klientów, próbując ich uodparniać na różnego rodzaju tzw. proste scenariusze fraudowe czy pseudoinwestycyjne. Obecnie widzimy, że ten kierunek kampanii edukacyjnych musi iść w stronę uodparniania klienta, że absolutnie nie może wierzyć wszystkiemu, co widzi w internecie. To może być na przykład różnego rodzaju deepfake, zarówno wykorzystujący wizerunki osób publicznie znanych, ale też imitowanie osób bliskich, znanych ofierze danego przestępstwa. Przestępcy wykorzystują scenariusze chociażby »na wnuczka«, podszywając się pod osoby bliskie - na przykład na podstawie próbek głosu, które mogą być wykorzystane przez sztuczną inteligencję do tego, aby generować tekst i  mowę, by zmanipulować i nakłonić do określonej reakcji. Widzimy potrzebę zwiększenia świadomości przede wszystkim na temat tych zagrożeń” - powiedział przedstawiciel sektora bankowego w czasie Cyber24 Day.

Agata Ślusarek zwróciła uwagę, że pod wpływem emocji niektórym ofiarom może się tylko wydawać, że słyszą głos bliskiej osoby, a w rzeczywistości będzie to głos oszusta.

„Faktycznie ofierze może się wydawać, że słyszy głos bliskiej osoby, bo przestępcy już od dawna mają swoje sposoby, by sprawiać takie wrażenie - jak np. szumy. Informują o tym, że »słyszysz źle mój głos, bo mam katar, jestem przeziębiony<< itd. Sprawdziliśmy, że nie tyle w spoofingu, co generalnie w vishingu, przestępcy wykorzystują sztuczną inteligencję, wykorzystują już deepfake. Trochę testowo, aby zobaczyć jak to działa, ale często np. w metodzie >>na wnuczka« było słychać głos osoby z rodziny. Częściej wydaje mi się, że pojawia się AI w tzw. głosówkach, kiedy oszust wysyła nagranie głosowe do kogoś z rodziny, że „potrzebuje pieniędzy”. Próbkę głosu mógł mieć z wcześniejszych nagrań, pozyskanych po zhakowaniu konta, dostępnych w historii czatu. Wtedy naprawdę szybko może to zrobić” - podsumowała przedstawicielka CSIRT KNF w debacie.

Monika Kamińska, CEO Truesty dodała, że obecnie bardzo ważnym jest, by osoby, które są na wyższych stanowiskach i są szczególnie narażone na tego typu oszustwa, aby podejmowały aktywne działania, które mogą je uchronić przed wykorzystaniem próbki jej głosu. „Trzeba mieć gotowy scenariusz działania w takiej sytuacji” – zaznaczyła.

Przegrana walka ze scamem?

Dr inż. Radosław Nielek stwierdził, że z perspektywy długoterminowej ma wrażenie, że walka ze scamem będzie dla użytkowników przegrana.

„To jest tylko pytanie, ile czasu zajmie nam dojście do momentu, w którym generowane deepfake’i będą takie, że nawet posadzenie przy nich wyszkolonego analityka z odpowiednimi narzędziami nie pozwoli udzielić jednoznacznej odpowiedzi, czy coś jest deepfake’iem, czy nie jest. My już takie rzeczy w CERT Polska widzieliśmy. Przy czym to oczywiście zawsze jest kwestia tego, co to za deepfake, jakiej jakości, na podstawie jakich materiałów został stworzony. (…) Przez chwilę będziemy się bronić, oczekując wyższej jakości kontentu, który oglądamy. Jednak w perspektywie, nie chcę powiedzieć miesięcy, ale na pewno lat, to jest raczej przegrana walka. Będziemy mieć deepfake’i, które będą nierozróżnialne od rzeczywistości” - przestrzegał szef NASK.

Jak być przygotowanym na oszustwa?

Szefowa startupu Truesty oceniła, że wobec tego nie można się poddawać i rezygnować np. z życia publicznego, by „nie dać się nagrać” i w ten sposób nie dostarczyć przestępcom próbki swojego głosu czy obrazu.

„Wraz z monitorowaniem w sieci pozytywnego contentu z naszym udziałem, trzeba sprawdzać, czy nie występuje też ten fałszywy. Jestem w tym zakresie dużo bardziej optymistyczna od pana dyrektora (Radosława Nielka - red.), ale uważam, że odpowiedzialność za to, co się pojawia, spoczywa na nas. To znaczy każdy z nas, kto jest osobą publiczną, kto używa social mediów, kto jest w jakikolwiek sposób znany: dziennikarze, sportowcy, politycy, menadżerowie, ale również zwykłe osoby, nasze rodzeństwo, mamy, babcie korzystają dzisiaj z Facebooka. Każdy, kto zamieszcza tam zdjęcia powinien mieć na uwadze, że mogą zostać skopiowane przez kogoś i wykorzystane. Również przez dzieci. Jako rodzice musimy także być świadomi tego rodzaju zagrożeń i wiedzieć jak postępować” - zaznaczyła Monika Kamińska.

Jej zdaniem ciężar i odpowiedzialność spoczywa na nas jako na użytkownikach i to my powinniśmy uczestniczyć w sposób odpowiedzialny w cyfrowym świecie, być na to przygotowani. Z tą opinią nie zgodził się szef NASK, który podkreślił, że odpowiedzialności za treści nie powinno się ściągać z platform mediów społecznościowych.

Eksperci pytani o to, co powinno się zrobić, by walka ze scamem nie była jednak przegrana, stwierdzili zgodnie, że trzeba postawić na wielopoziomową edukację i budowanie świadomości. Żadne regulacje bowiem nie usuną w pełni problemu scamu, dlatego warto wiedzieć, jakie zagrożenia czyhają w sieci i być na nie odpornym.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].