"Ataki są coraz lepsze". Ekspert opowiada o nowych metodach oszustów

Mateusz Chrobok to ekspert cyberbezpieczeństwa i sztucznej inteligencji, twórca platformy edukacyjnej "Ucz mnie". W rozmowie w "Horyzontach" opowiada o najnowszych metodach oszustw, o tym, jak reagować na próby wyłudzeń, oraz o miejscu sztucznej inteligencji w pracy i naszej codziennej komunikacji.

Chrobok zwraca uwagę na nadużycia związane z kodami QR: pojawiają się na parkomatach, w menu restauracji czy "mandatach", a po zeskanowaniu prowadzą do fałszywych bramek płatności lub formularzy do wyłudzeń danych.

Radzi, by przerwać "ciąg wydarzeń", sięgnąć po znaną aplikację do opłacenia parkingu albo samodzielnie skontaktować się z bankiem lub bliskimi, zamiast podążać ścieżką narzuconą przez nadawcę wiadomości. — Jeżeli musisz coś zrobić "już teraz", to prawdopodobnie dobry moment, żeby się zatrzymać — podkreśla ekspert.

Gdy doszło do kliknięcia, ale jeszcze nie podano danych, Chrobok zaleca przesłanie informacji na numer 8080 lub zgłoszenie incydentu odpowiednim służbom. Jeśli jednak ujawniono dane, trzeba zabezpieczyć to, co się podało: zastrzec PESEL, unieważnić dokumenty, zmienić hasła i przejrzeć, gdzie jeszcze były używane. — Przez każdy ten kawałek danych trzeba przejść i sprawdzić, co mogłoby się najgorszego wydarzyć — mówi.

Nową skalę ryzyka wyznaczają deepfake’i. Chrobok opisuje przypadek, w którym pracownik firmy po wideokonferencji z "przełożonym" i "zespołem" przelał 25 mln funtów — twarze i głosy uczestników były syntetyczne. W relacjach prywatnych również dochodzi do wyłudzeń z użyciem generowanych głosów i wideo. — To AI jest już pomiędzy ludźmi — stwierdza ekspert.

Jak się bronić? Chrobok proponuje "łamliwe" testy wideo (np. poprosić rozmówcę o ziewnięcie lub nietypowy ruch, którego nie ma w materiałach w sieci) oraz przejęcie inicjatywy: oddzwaniać na znany numer, potwierdzać dyspozycje drugim kanałem (np. innym komunikatorem lub e-mailem), a w razie nacisków na tempo — mówić "sprawdzam". — Nie bądź tym najniżej wiszącym owocem, czyli łatwym celem — apeluje.

W sektorze finansowym — jak mówi — wprowadzono rozwiązania utrudniające podszywanie się pod numery telefonów ("Bezpieczna Zatoka"), ale przestępcy przenoszą się do szyfrowanych komunikatorów. Same bankowe powiadomienia "bank do Ciebie dzwoni" bywają wykorzystywane w legendach oszustów poza aplikacją.

— Dalej nie można ufać temu numerowi, który do ciebie dzwoni — zaznacza. Dlatego lepszym wzorcem jest sytuacja, w której to klient inicjuje kontakt z bankiem po otrzymaniu krótkiego sygnału o możliwym problemie. — Jedyną szczepionką na to jest edukacja — mówi.

Chrobok chwali też codzienną pracę zespołów bezpieczeństwa w Polsce. — Jestem pod wielkim wrażeniem tego, jak koledzy i koleżanki cały czas bronią naszego sektora […] uważam, że naprawdę nieźle stoimy — mówi, zastrzegając, że dezinformacja potrafi wywoływać realne skutki, jak panika przy bankomatach po fałszywych doniesieniach.

W rozmowie pada także wątek płatności. — Ja ogólnie rzecz biorąc uważam, że gotówka powinna z nami pozostać na zawsze — stwierdza, dodając, że cyfrowe waluty mogą wzmacniać kontrolę nad obywatelami. O mitycznej "anonimowości" bitcoina mówi wprost: — Brak śledzenia to jest chyba największy mit — bo transakcje są jawne, a specjalistyczne firmy potrafią wiązać portfele z konkretnymi podmiotami.

Zdaniem Chroboka zmienia się sposób korzystania ze sztucznej inteligencji: — Przechodzimy od augmentacji do agentowości takich systemów — mówi. Na razie to głównie przyspieszanie pracy i automatyzacja powtarzalnych zadań, ale do głosu dochodzą systemy bardziej autonomiczne. Wskazuje też, że coraz częściej komunikujemy się "przez" modele: jeden pisze długiego maila o podwyżkę, drugi go streszcza i… odpisuje. — Nie mamy kontaktu "człowiek–człowiek", tylko po drodze jest coraz częściej AI — zauważa.

Chrobok przywołuje ostrzeżenia, że w ciągu najbliższych lat automatyzacja może szczególnie uderzyć w stanowiska juniorskie, a adaptacja będzie wymagała oswajania się z ograniczeniami modeli i świadomego wdrażania ich do procesów. Sam kierunek zmian — także w wyszukiwaniu informacji — uważa za nieodwracalny: użytkownicy chcą odpowiedzi, nie list linków.