Jeszcze niedawno phishingowe e-maile były łatwe do rozpoznania: toporne, pełne literówek, pisane łamanym językiem i budzące uśmiech politowania. Dziś coraz częściej są to perfekcyjnie sformułowane wiadomości, które nie tylko nie wzbudzają podejrzeń, ale potrafią przypominać wewnętrzne notatki od przełożonego.
To nie przypadek – za nową falą ataków phishingowych coraz częściej stoi sztuczna inteligencja. I to nie byle jaka, ale ta sama, z której korzystają działy marketingu, HR i zarządy firm.
Generatywna AI, w tym popularne modele językowe (LLM) takie jak ChatGPT czy Claude, opanowały sztukę tworzenia realistycznych tekstów. Wystarczy krótka komenda, by wygenerować wiadomość e-mail idealnie dopasowaną do tonu, stylu i kontekstu danej firmy.
A jeśli dodać do tego dane z sieci – profil ofiary na LinkedIn, treści publikowane na stronie firmowej czy wypowiedzi w mediach – powstaje spersonalizowany atak, którego nie sposób odróżnić od autentycznej komunikacji.
Co gorsza, skuteczność takich wiadomości jest zatrważająco wysoka. Według badań, nawet doświadczeni użytkownicy dają się nabrać w ponad połowie przypadków. Przestępcy nie muszą już być mistrzami języka – wystarczy, że są biegli w tzw. inżynierii podpowiedzi (prompt engineering).
Spear phishing, czyli ataki ukierunkowane na konkretną osobę, był dotąd kosztowny i czasochłonny. Wymagał analizy celu, opracowania scenariusza i stworzenia przekonującej treści. To oznaczało wysoki próg wejścia, który ograniczał skalę zjawiska.
Dziś ten próg niemal nie istnieje. AI potrafi automatycznie analizować dane i tworzyć zindywidualizowane wiadomości w kilka sekund. Tym samym spear phishing staje się skalowalny – i groźniejszy niż kiedykolwiek wcześniej.
To zmienia ekonomię cyberprzestępczości. Ataki, które jeszcze niedawno były zarezerwowane dla celów wysokiego ryzyka (np. członków zarządów), dziś mogą być kierowane do każdego pracownika. A liczba możliwych ofiar rośnie wykładniczo.
Problem w tym, że większość firmowych systemów bezpieczeństwa nie była projektowana z myślą o tak realistycznych, „ludzkich” treściach. Tradycyjne filtry antyspamowe opierają się na wzorcach, słowach kluczowych lub podejrzanych załącznikach – a nie na zniuansowanej analizie językowej.
Z kolei systemy klasy DLP (Data Loss Prevention) i detekcji behawioralnej lepiej radzą sobie z techniczną stroną ataku, niż z jego psychologicznym wymiarem. AI pisząca jak człowiek wymyka się tym mechanizmom.
Szkolenia użytkowników również tracą skuteczność. Nie dlatego, że są złe – ale dlatego, że ataki są coraz trudniejsze do rozpoznania nawet dla dobrze przeszkolonych pracowników.
Czy w tej grze można jeszcze wygrać? Tak, ale pod warunkiem zmiany podejścia. Skoro ataki wspierane są przez sztuczną inteligencję, obrona także musi się nią posiłkować.
Nowoczesne rozwiązania bezpieczeństwa zaczynają korzystać z AI do analizy kontekstu wiadomości, wykrywania anomalii w relacjach między użytkownikami czy modelowania ryzyka komunikacji. Detekcja nie opiera się już wyłącznie na treści, ale również na tym, kto z kim rozmawia, kiedy i w jaki sposób.
Równie ważna staje się automatyzacja reakcji – szybkie odcięcie użytkownika od systemu, blokowanie kont, analiza wewnętrznej eskalacji. W grze, gdzie czas reakcji liczony jest w minutach, liczy się każda sekunda.
Phishing 2.0 wymusza też zmianę kultury bezpieczeństwa. Użytkownik końcowy nie może być pierwszą i ostatnią linią obrony.
Owszem, szkolenia są ważne – zwłaszcza w zakresie rozpoznawania nietypowych żądań, próśb o dostęp czy przekazania środków. Ale nie mogą one stanowić alibi dla słabości systemu.
Nie chodzi o to, by przestać szkolić pracowników. Chodzi o to, by zbudować infrastrukturę, która w jak najmniejszym, najlepiej bliskim zeru, zależy od tego, czy człowiek rozpozna atak.
Tak jak samochód nie wymaga od pasażera, by pamiętał o uruchomieniu poduszki powietrznej – po prostu robi to za niego.
Phishing po prostu ewoluował. A sztuczna inteligencja, która zwiększa produktywność działów biznesowych, równolegle wspiera cyberprzestępców. Firmy muszą zaakceptować ten dualizm i wprowadzić równie zaawansowane rozwiązania po stronie obrony.
