Phishing wspierany przez AI – wchodzimy w nowy etap cyberzagrożeń? Wywiad z Mikołajem Wanatowiczem z Secaiure

Phishing to dziś jedno z najpoważniejszych zagrożeń cybernetycznych – coraz bardziej wyrafinowane, trudniejsze do wykrycia i kosztowne dla firm z wielu branż. Przestępcy sięgają po nowe metody, w tym sztuczną inteligencję, by skuteczniej oszukiwać zarówno użytkowników indywidualnych, jak i całe organizacje. Jakie są najnowsze techniki phishingowe, zagrożenia specyficzne dla polskiego rynku, podatność konkretnych sektorów oraz jak skutecznie chronić się przed tego typu atakami? O tym rozmawiamy z Mikołajem Wanatowiczem, chief executive officer w Secaiure. Wywiad przeprowadził Wojciech Samborski, redaktor naczelny serwisu aboutMarketing.pl.

Jak zmieniły się metody phishingowe stosowane przez cyberprzestępców w ciągu ostatnich lat? Czy pojawiły się nowe, wcześniej nieobecne formy takich ataków?

Tak, phishing ewoluował i stał się bardziej zaawansowany. Choć tradycyjne ataki e-mailowe nadal dominują, cyberprzestępcy coraz częściej wykorzystują nowe techniki.

Jednym z największych zagrożeń jest phishing oparty na sztucznej inteligencji. Algorytmy AI analizują publicznie dostępne dane, np. profile w mediach społecznościowych, aby tworzyć bardzo wiarygodne, spersonalizowane wiadomości.

Pojawił się także Phishing as a Service (PhaaS) – przestępcy mogą kupować gotowe zestawy phishingowe, co obniża barierę wejścia i zwiększa skalę ataków.

Coraz popularniejsze są również smishing (phishing przez SMS) i ataki w mediach społecznościowych, gdzie oszuści podszywają się pod znane marki. Dodatkowo Phishing Scams 3.0 polega na wykorzystywaniu znanych usług, jak iCloud czy PayPal, do tworzenia fałszywych powiadomień i stron logowania.

Cyberprzestępcy stale udoskonalają swoje metody, dlatego niezwykle istotne jest podnoszenie świadomości i wdrażanie nowoczesnych narzędzi ochrony.

Czy możesz wskazać popularne metody pishingu w Polsce? Czy są jakieś specyficzne rodzaje phishingu dominujące w Polsce, które odróżniają się od zagrożeń obserwowanych za granicą?

Tak, istnieją pewne różnice. W Polsce przestępcy koncentrują się na lokalnych usługach, takich jak BLIK czy InPost, zamiast atakować globalne platformy jak PayPal czy Amazon. Stosują też hybrydowe techniki, łącząc phishing z atakami SMS-owymi (smishingiem) i kampaniami na portalach społecznościowych.

Ciekawym przypadkiem było fałszywe „UKNF AI” – strona podszywająca się pod Urząd Komisji Nadzoru Finansowego, która nakłaniała do podania danych bankowych pod pretekstem przeciwdziałania praniu pieniędzy. Widzimy również rosnące wykorzystanie automatyzacji w atakach, ale wciąż mniej zaawansowanej niż na rynkach zachodnich, gdzie coraz częściej stosuje się phishing oparty na sztucznej inteligencji.

Phishing w Polsce jest silnie osadzony w lokalnym kontekście i bazuje na socjotechnice, wykorzystując zaufanie użytkowników do rodzimych instytucji. Dlatego też edukacja i świadomość zagrożeń to ważne elementy walki z tym zjawiskiem.

W których branżach phishing generuje dziś największe szkody finansowe lub reputacyjne? Co wpływa na szczególną podatność tych sektorów?

Phishing to jedno z najpoważniejszych zagrożeń cybernetycznych, które generuje ogromne straty finansowe i reputacyjne w wielu branżach. Najbardziej dotknięte są instytucje finansowe i ubezpieczeniowe – ze statystyk wynika, że aż 27,7% wszystkich ataków phishingowych jest wymierzonych właśnie w firmy z tego sektora – banki i firmy ubezpieczeniowe. Przestępcy kradną dane uwierzytelniające i przeprowadzają oszustwa BEC, podszywając się pod osoby na kluczowych stanowiskach, co prowadzi do strat liczonych w milionach dolarów.

Podobnie sektor opieki zdrowotnej jest szczególnie narażony, ponieważ przechowuje wrażliwe dane pacjentów, które są niezwykle cenne na czarnym rynku. Średni koszt wycieku informacji w tej branży wynosi 10,93 mln dolarów, co czyni ją najbardziej kosztowną pod względem naruszeń bezpieczeństwa.

Duże straty ponosi także sektor produkcyjny i łańcuchy dostaw, gdzie phishing często prowadzi do ataków ransomware, a firmy produkcyjne płacą za takie incydenty nawet o 11,8% więcej niż inne branże. Przykładem może być atak na Applied Materials w 2023 roku, który spowodował straty rzędu 250 milionów dolarów. Handel detaliczny również mocno odczuwa skutki phishingu – w tym sektorze aż 37% naruszeń dotyczy kradzieży danych kart płatniczych, a rozproszona struktura zabezpieczeń i korzystanie z zewnętrznych dostawców usług IT tworzy dodatkowe luki w ochronie.

Nie można też zapominać o sektorze energetycznym i usługach publicznych, gdzie ataki phishingowe często mają podłoże geopolityczne. Aż 60% incydentów w tym sektorze jest powiązanych z działalnością grup hakerskich sponsorowanych przez państwa, takie jak Rosja czy Chiny, co nie tylko prowadzi do strat finansowych, ale również podważa zaufanie społeczne i może destabilizować kluczową infrastrukturę. Przykładem może być włamanie do brytyjskiego obiektu jądrowego Sellafield, gdzie przez lata nie wykryto obecności złośliwego oprogramowania. Ataki wymierzone są także w firmy technologiczne i dostawców usług chmurowych – phishingowe kampanie podszywające się pod Microsoft czy Google skutecznie podważają zaufanie do tych platform i prowadzą do przejęcia kont użytkowników.

Największą podatność na phishing wykazują branże, które przechowują cenne dane, a także organizacje o słabych zabezpieczeniach, zwłaszcza wśród małych i średnich firm, które doświadczają aż 350% więcej ataków niż większe korporacje. Jednym z poważniejszych problemów pozostaje czynnik ludzki – aż 74% naruszeń bezpieczeństwa wynika z błędów pracowników, którzy klikają w zainfekowane linki lub otwierają niebezpieczne załączniki. W ochronie zdrowia ten problem jest szczególnie widoczny, bo presja czasowa sprawia, że aż 37% pracowników bez namysłu otwiera e-maile oznaczone jako „pilne”, co znacznie ułatwia cyberprzestępcom działanie. Wiele firm nie jest również świadomych zagrożeń płynących z ich własnych łańcuchów dostaw – w produkcji aż 15% ataków pochodzi od partnerów biznesowych, którzy nie mają wystarczających zabezpieczeń.

Największe szkody phishing generuje w sektorach, które operują danymi o wysokiej wartości lub zarządzają krytyczną infrastrukturą. Problemem pozostaje nie tylko brak świadomości zagrożeń, ale także niedostosowanie systemów bezpieczeństwa do coraz bardziej zaawansowanych metod ataków, w tym phishingu wspieranego przez sztuczną inteligencję.

Coraz częściej słyszymy, że przestępcy wykorzystują wspomniane przez Ciebie ataki phishingowe oparte o AI.  W jaki sposób cyberprzestępcy wykorzystują AI do przeprowadzania bardziej efektywnych ataków tego typu?

Cyberprzestępcy coraz częściej sięgają po sztuczną inteligencję, aby zwiększyć skuteczność ataków phishingowych. AI pozwala na tworzenie spersonalizowanych wiadomości, które trudno odróżnić od autentycznej komunikacji. Dzięki analizie mediów społecznościowych czy historii zakupów, algorytmy generują treści dostosowane do konkretnej ofiary. Już teraz widzimy przypadki, w których AI imituje styl wypowiedzi osób na wysokich stanowiskach, co ułatwia oszustwa biznesowe.

Innym zagrożeniem są głosowe deepfake’i, gdzie AI klonuje głosy na podstawie krótkiej próbki nagrania. Widzieliśmy już przypadki, w których oszuści, podszywając się pod dyrektora firmy, wyłudzili miliony dolarów. Ponadto sztuczna inteligencja pomaga w automatyzacji ataków – narzędzia takie jak WormGPT pozwalają na generowanie tysięcy spersonalizowanych e-maili na godzinę, skracając czas przygotowania kampanii i eliminując błędy językowe, które kiedyś pomagały użytkownikom rozpoznać oszustwo.

Wraz z rozwojem technologii i dostępnością narzędzi w darknecie możemy spodziewać się, że AI stanie się standardowym elementem zaawansowanych kampanii phishingowych, szczególnie tych skierowanych do firm i instytucji.

Jakie są największe wyzwania związane z wykrywaniem ataków phishingowych wspieranych przez AI?

Głównym wyzwaniem jest zwiększona złożoność ataków. AI generuje spersonalizowane, niemal idealne wiadomości, trudne do odróżnienia od autentycznych. Dodatkowo, sztuczna inteligencja dynamicznie dostosowuje treść w czasie rzeczywistym, co sprawia, że tradycyjne filtry często zawodzą.

Kolejnym problemem jest ewolucja technik ataków. AI tworzy nowe, nieznane wzorce, a deepfake’i umożliwiają ataki głosowe i wideo, co komplikuje identyfikację. Tradycyjne systemy bezpieczeństwa mają ograniczenia – wymagają ciągłego szkolenia na nowych danych, a ich integracja z istniejącą infrastrukturą jest skomplikowana.

Prywatność danych to kolejne wyzwanie. AI analizuje ogromne zbiory danych, co wymaga zgodności z regulacjami jak RODO. Naruszenie systemów AI może prowadzić do wycieku wrażliwych danych. Nie można też zapominać o błędach ludzkich – użytkownicy często nie rozpoznają wiadomości generowanych przez AI.

Dlatego niezwykle ważne jest ciągłe szkolenie systemów AI, współpraca między zespołami oraz regularne szkolenia pracowników. Nieskromnie zachęcam do wdrażania zintegrowanych systemów bezpieczeństwa takich jak nasz system Secaiure, które łączy AI z tradycyjnymi metodami ochrony, a samo wdrożenie jest niezwykle proste dla firm każdej wielkości.

Czy analiza behawioralna użytkowników faktycznie zwiększa poziom ochrony przed phishingiem? Jak w praktyce wygląda proces przewidywania zagrożeń w oparciu o zachowania użytkowników?

Tak, analiza behawioralna użytkowników znacząco zwiększa ochronę przed phishingiem. Dzięki monitorowaniu ich zachowań, systemy mogą wykrywać anomalie, takie jak nietypowe logowania czy dostęp do nieznanych aplikacji, co pozwala na wczesne wykrycie potencjalnych zagrożeń. To proaktywne podejście redukuje również liczbę fałszywych alarmów, zwiększając efektywność reakcji na incydenty.

Proces składa się z kilku etapów. Najpierw systemy zbierają dane o aktywnościach użytkowników, takich jak logowania czy dostęp do plików. Następnie tworzone są modele typowych zachowań, które służą jako punkt odniesienia. System stale monitoruje aktywności w sieci, porównując je z tymi modelami. Gdy wykryje odstępstwo od normy, generuje alarm i może automatycznie zablokować dostęp lub powiadomić zespół bezpieczeństwa.

Jak oceniasz obecny poziom świadomości Polaków w zakresie phishingu i cyberzagrożeń? Czy użytkownicy potrafią samodzielnie rozpoznawać fałszywe wiadomości i próby manipulacji?

Świadomość społeczeństwa w zakresie phishingu i cyberzagrożeń jest niestety wciąż niewystarczająca. Choć rośnie ogólna świadomość istnienia takich zagrożeń, wiele osób ma problemy z rozpoznawaniem konkretnych ataków. Wiele osób nie potrafi od razu zidentyfikować wiadomości phishingowej jako oszustwa, a część uznaje je za prawdziwe. Dodatkowo, spora grupa osób przyznaje się do dzielenia się danymi do logowania i nie weryfikuje treści wiadomości przed podjęciem działania.

Głównym problemem jest brak szczegółowej wiedzy na temat metod ataków i skutecznych sposobów ochrony. Wiele osób ocenia swoje umiejętności w zakresie cyberbezpieczeństwa jako przeciętne, a część stosuje niebezpieczne praktyki, takie jak używanie tych samych haseł do wielu kont.

Wśród przedsiębiorców sytuacja również nie jest idealna. Choć większość deklaruje podstawową wiedzę o bezpieczeństwie, to często nie znają oni konkretnych rodzajów ataków ani metod obrony, czego często jesteśmy świadkami podczas sprawdzania podatności firm poprzedzających nasze wdrożenia.

Jak firmy zajmujące się cyberbezpieczeństwem mogą skutecznie angażować użytkowników w budowanie wspólnej odporności na phishing? Jakie formy współpracy ze społecznością mogą się okazać najbardziej efektywne?

Nasza firma, specjalizująca się w ochronie przed phishingiem dla klientów B2B, postanowiła z własnych środków udostępnić rozwiązanie również dla użytkowników indywidualnych, aby skutecznie budować odporność na zagrożenia. Nie chcę wypowiadać się za inne firmy, jak powinny angażować użytkowników, ale wiele dużych podmiotów i instytucji odmówiło współpracy w zakresie ochrony użytkowników indywidualnych.

Uważam, że wdrażanie narzędzi opartych wyłącznie na statycznych bazach danych zagrożeń, które oferują niektórzy dostawcy, nie ma sensu zwłaszcza w dobie rozwoju AI i tworzenia zagrożeń w zaledwie kilku sekund, co sprawia, że takie bazy stają się nieskuteczne.

Jak oceniasz skuteczność społecznościowego modelu wykrywania zagrożeń? Czy crowdsourcing może znacząco podnieść bezpieczeństwo w sieci, czy raczej powinien pozostać dodatkiem do profesjonalnych rozwiązań technicznych?

Społecznościowy model wykrywania zagrożeń, oparty na crowdsourcingu, ma potencjał do zwiększenia bezpieczeństwa w sieci, ale powinien być traktowany jako uzupełnienie profesjonalnych rozwiązań technicznych, a nie ich zamiennik. Crowdsourcing pozwala na gromadzenie danych o zagrożeniach z wielu źródeł, co może przyspieszyć wykrycie nowych ataków. Użytkownicy zgłaszając podejrzane aktywności, tworzą zbiorową bazę wiedzy, która może być cenna dla innych. Dodatkowo, model ten zwiększa świadomość użytkowników, co przekłada się na lepsze zachowania w sieci.

Jednak crowdsourcing ma swoje ograniczenia. Informacje od użytkowników mogą być subiektywne lub niekompletne, a ich jakość nie zawsze jest wystarczająca w porównaniu z danymi analizowanymi przez profesjonalne narzędzia. Dlatego istotne jest, aby dane z crowdsourcingu były weryfikowane przez ekspertów i integrowane z różnymi systemami, które zapewniają dokładną analizę i korelację zdarzeń.

Czy Twoim zdaniem edukacja w zakresie cyberbezpieczeństwa powinna stać się obecnie częścią obowiązkowego programu nauczania w szkołach? Czy raczej powinien to być obowiązek firm oraz organizacji działających w internecie?
Kiedy byłem bardzo młody, pamiętam, że do szkoły podstawowej przychodziła policja raz do roku, aby prowadzić zajęcia. Wtedy ich edukacja opierała się głównie na straszeniu, że jeśli zrobimy coś złego, to policja nas namierzy. Choć to podejście działało na mnie i pewnie na innych, to dziś uważam, że lepiej, aby takie zajęcia prowadzili ludzie z kompetentną wiedzą, a nie tylko z nastawieniem na zastraszenie. Dlatego edukacja w zakresie cyberbezpieczeństwa powinna być obowiązkową częścią programu nauczania w szkołach. Nawet jedna godzina na pół roku to lepsze rozwiązanie niż całkowite pomijanie tego tematu. Dzieci i młodzież są coraz bardziej aktywni w sieci, a wczesna edukacja pomaga kształtować zdrowe nawyki i świadomość zagrożeń. To inwestycja w przyszłość, która przyczyni się do stworzenia bardziej bezpiecznej społeczności.

Uważam też, że firmy mogą odgrywać ważną rolę w tym procesie. Ich zaangażowanie może być wyróżnikiem na rynku, tak jak robi to ostatnio ING ze swoimi działaniami edukacyjnymi. To świetny przykład, jak biznes może przyczynić się do zwiększenia świadomości społecznej w zakresie cyberbezpieczeństwa.

Patrząc szerzej – jak oceniasz gotowość polskich instytucji oraz służb państwowych do walki z cyberprzestępczością, w szczególności z phishingiem? Czy obecny system prawny oraz narzędzia egzekwowania prawa są adekwatne do zagrożeń?

Moja ocena gotowości polskich instytucji i służb państwowych do walki z cyberprzestępczością, w tym z phishingiem, jest ogólnie pozytywna, choć istnieją pewne wyzwania. Z jednej strony, Polska jest mniej narażona na ataki niż kraje zachodnie ze względu na mniejszy „koszyk zakupowy” dla cyberprzestępców. Z drugiej strony, sytuacja geopolityczna, zwłaszcza wojna na Ukrainie, pokazała, że zagrożenia są realne i wymagają ciągłej uwagi.

Gotowość instytucji i służb państwowych jest dobra, ale najważniejsza jest dalsza współpraca między nimi a firmami prywatnymi – nie tylko dużymi organizacjami, ale również startupami. Od znajomych w USA słyszymy, że tego typu współpraca, mająca na celu z cyberzagrożeniami, ruszyła u nich w bardzo szybkim tempie. Mam nadzieję, że podobne podejście zostanie wdrożone w Polsce.

Jeśli chodzi o system prawny, to obecne przepisy są na dobrej drodze, ale wymagają ciągłego dostosowywania do zmieniających się zagrożeń. Współpraca międzysektorowa i inwestycje w nowoczesne narzędzia są niezwykle ważne, aby polskie prawo i instytucje mogły skutecznie radzić sobie z phishingiem i innymi formami cyberprzestępczości.

Jak będą rozwijały się zagrożenia phishingowe w najbliższych latach? Na jakie nowe metody manipulacji użytkownicy powinni zwrócić szczególną uwagę? Jakie konkretne rekomendacje dotyczące ochrony przed phishingiem skierowałbyś do przeciętnego użytkownika internetu?

Po pierwsze, zawsze korzystaj z uwierzytelniania wieloskładnikowego, które znacząco zwiększa bezpieczeństwo kont. Po drugie, jeśli otrzymasz podejrzaną wiadomość, zweryfikuj ją przez inny kanał komunikacji, np. telefon, aby upewnić się, że pochodzi od zaufanego źródła. Należy też pamiętać, aby nie działać pod presją czasu. Z dodatkowych rzeczy -polecam obserwować wspaniałych propagatorów cyberbezpieczeństwa, jak np. Mateusz Chrobok, ale tych osób jest w Polsce znacznie więcej.

Warto mieć na uwadze, że zagrożenia phishingowe będą się intensywnie rozwijać, zwłaszcza w związku z postępem technologicznym, takim jak rozwój sztucznej inteligencji. W najbliższych latach możemy spodziewać się bardziej wyrafinowanych ataków, w tym phishingowych wiadomości generowanych przez AI, głosowych deepfake’ów oraz ataków przez media społecznościowe. Nowe metody, takie jak vishing i smishing, będą coraz częściej wykorzystywane do manipulacji użytkowników.