Exponenciální nástup umělé inteligence v posledních měsících má usnadnit a zlepšit práci, ale má i všechny předpoklady pomoci těm, kdo chtějí škodit. Dokonalejší AI znamená i možnost snáz vytvářet podvodné maily s cílem vylákat z lidí například údaje pro vstup do osobního bankovnictví nebo podvodnou platbu.
Fio banka v lednu na sociální síti Twitter zveřejnila video, v němž její údajný pracovník upozorňuje klienta, že nedokončil transakci k nákupu cenných papírů energetické společnosti RWE v hodnotě několik tisíc korun. Šlo o takzvané deepfake video a zpráva byla vytvořena pomocí AI.
„Podvod, na který jsme upozorňovali v lednu, začal pro klienta tím, že narazil na internetu na nabídku výhodných investic. Útočníkům pak poslal některé své kontaktní údaje,“ komentuje případ mluvčí Fio banky Jakub Heřmánek. O několik dní později přišel klientovi e‑mail s videovýzvou, z obecného hlediska podezřelý na první pohled. „Není tam vlastně žádný text, jen klientovy údaje, které očividně podvodníkovi poskytl, a v příloze video.“
Na základě poskytnutého jména a dalších kontaktních údajů útočník zřejmě vytvořil personalizované video s nabídkou koupě akcií, pokračuje Heřmánek. Jeho banka registruje ještě jeden případ, kdy podvodníci zaslali video s uměle vytvořeným bankéřem. „Zatím nevíme o klientovi, který by se na něj nachytal. Sami nás na nový podvod také upozorňovali,“ dodává mluvčí Fio banky.
Celkové počty registrovaných skutků spáchaných v kyberprostoru
Fejk nerozeznatelný od reálu
Statistika Policie ČR říká, že v loňském roce bylo nahlášeno více než 18 tisíc kyberútoků a za první čtvrtletí toho letošního to bylo už necelých šest tisíc. „Podle údajů České bankovní asociace zveřejněných v roce 2022 vzrostly počty útoků čtyřnásobně během pouhých dvou let. Pokud jde o výši způsobených škod, bankám se daří je významně snižovat,“ tvrdí Radek Šalša, mluvčí České bankovní asociace.
Podle údajů Policie ČR bylo v loňském roce více než 18 tisíc kyberútoků. Jen za první čtvrtletí tohoto roku to bylo už skoro šest tisíc.
A teď je na scéně umělá inteligence. „Byl bych překvapen, pokud neuvidíme nárůst počtu a sofistikovanosti útoků. Zejména v podobě manipulativních podvodných zpráv k získání privátních informací a hesel,“ říká Petr Somol, ředitel výzkumu umělé inteligence ve společnosti Gen (dříve Avast). Dlouhodobě považuje umělou inteligenci za nástroj extrémně zrychlené automatizace. „V případě útočníků tedy jde o nástroj, jak zrychlit obrátky při vytváření nových variant útoků. Nedávný dramatický nástup velmi velkých řečových modelů (například ChatGPT – pozn. red.) pak umožnil velké zrychlení tvorby zejména kognitivních útoků, směřujících k obelhání, manipulaci a přesvědčování k akci,“ doplňuje expert. Častým cílem bude, aby oslovení lidé zasílali podvodníkům rovnou peníze.
Jeho slova potvrzují i další. „Vyšší dostupnost a uživatelsky přívětivější nástroje umělé inteligence mohou pomáhat útočníkům zejména v přípravě phishingových útoků,“ říká Vladimíra Žáčková, specialistka kybernetické bezpečnosti ESET. Phishingové kampaně, tedy klasické podvodné maily či zprávy, připravené za asistence umělé inteligence mohou působit věrohodněji než dosavadní prostředky podvodníků. Špatná čeština podloudných sdělení nebo neobratná slovní spojení už jsou méně častými jevy.
Škodící AI
Známým škodlivým kódem, který využívá strojové učení a dokáže díky tomu cíleně vybírat své oběti pro šíření spamu a phishingu, je malware Emotet.
Ten začátkem roku 2022 narostl více než stonásobně oproti roku předchozímu.
Zdroj: ESET
Známým škodlivým kódem, který využívá strojové učení, tedy zjednodušeně umělou inteligenci, a dokáže díky tomu cíleně vybírat své oběti pro šíření spamu a phishingu, je malware Emotet. Začátkem roku 2022 narostl jeho výskyt více než stonásobně oproti roku předchozímu. „Ve druhé polovině roku byl sice na ústupu díky restriktivním opatřením společnosti Microsoft v dokumentech Microsoft Office, které byly nejčastějším terčem útoků, ale jeho autoři přidali například modul, který dokázal přečíst údaje o platebních kartách uložených v prohlížeči Google Chrome,“ říká Žáčková z firmy ESET.
Emotet přispěl také k tomu, že meziročně vzrostl počet akcí v kategorii e‑mailových hrozeb, mezi roky 2021 a 2022 to bylo o 30 procent. E‑mailové hrozby tak zůstávají jednou z nejvýznamnějších kyberzločineckých aktivit.
Co s uměním napodobit hlas
„Díky informacím, které útočník dá umělé inteligenci k dispozici, a díky jejím rozsáhlým databázím zároveň mohou být útoky přesněji zacílené. Umělá inteligence nabízí útočníkům možnost doplnit phishingový e‑mail fotografií nebo videem na míru, což mu může přidat na autentičnosti,“ doplňuje Žáčková. To ostatně platí i v případě zmíněného falešného bankéře Fio banky.
Nejčastější útoky v průběhu let 2020 a 2021 (v %)
Expertka antivirové společnosti ESET přidává, že při pokročilejších útocích mohou jejich pachatelé pracovat s uměle vytvořenými hlasy a vydávat se za osobního bankéře po telefonu.
Významné tu je, že hlasová biometrie se využívá i jako jeden z ochranných prvků při přihlašování do banky. Před několika lety možnost ověřit identitu klienta po telefonu pouze na základě uloženého hlasového vzorku umožnila Česká spořitelna. Využívá ji zhruba 10 tisíc lidí. „Jakákoliv hlasová biometrie představuje jednu z oblastí, která bývá zmiňována jako potenciálně zranitelná. Dosud jsme neidentifikovali úspěšné pokusy o prolomení hlasové biometrie skrze AI,“ říká mluvčí České spořitelny Filip Hrubý.
Nejspíš tu funguje AI, která hlídá pachatelům bazarové portály, dokáže rychle reagovat na nabídky a komunikovat.
Podle Šalši ale zatím banky nemají žádné informace o tom, že by útočníci nějak systematicky využívali AI například při podvodných telefonních hovorech. „Jediné místo, kde si myslíme, že útoky mohou již dnes probíhat i s pomocí AI, jsou bazarové podvody,“ říká mluvčí ČBA.
V mnoha případech se podle něj potvrdilo, že osoby, které vystavily nějaké zboží k prodeji na bazarovém portále, dostaly nabídky bezprostředně po zveřejnění inzerátu. „Troufáme si tedy tvrdit, že tady bude fungovat nějaká forma AI, která hlídá pachatelům jimi preferované bazarové portály a dokáže takto rychle nejen reagovat na nové zboží, ale i komunikovat přes sociální sítě. Tedy generovat zprávy se zájmem o koupi zboží a navádět oběti na předem vytvořená schémata plateb přes podvodně vytvořené stránky různých kurýrních společností a jejich platebních metod,“ říká Šalša.
AI jako pomocník
Hlavní efekt rychlého rozvoje AI v posledních měsících v kontextu kybernetické bezpečnosti se podle experta GEN Somola projeví v další „demokratizaci“ počítačové kriminality. „Pro více lidí bude snazší použít škodlivý software,“ vysvětluje.
Bankovní i jiné firemní prostředí musí v každém případě na nově nastolenou situaci reagovat. „Myslím, že jsme na prahu významných změn stavu mediálního prostředí. Je zřejmé, že generovaný obsah – video, audio, text – již je prakticky nerozeznatelný od obsahu generovaného lidmi. Bude tedy zřejmě zanedlouho velmi obtížné zorientovat se v tom, co je zavádějící, co je falešné a co je zakotveno v realitě. Bude potřeba na situaci reagovat na všech stranách – technologiemi, ale i procesně a legislativně,“ domnívá se Somol.
Umělá inteligence se tak stane i nástrojem obránců proti kyberútokům – bank, antivirových společností a dalších. Banky ji dnes využívají k především k odhalování podezřelých transakcí. Nestandardní chování je schopná velmi rychle odhalit. „Strojové učení, které se považuje za jádro umělé inteligence, pomáhá vývojářům bezpečnostních řešení již několik dekád a je důležitou součástí strategie IT bezpečnosti. Velký význam má zejména v detekci malwaru, je vycvičeno ke správnému filtrování souborů a vzorků kódu a dokáže je rozdělit na neškodné a škodlivé,“ uvádí Žáčková.
Česká spořitelna v současnosti testuje AI pro automatickou detekci podvodných platebních transakcí. „Ta dnes probíhá primárně na základě setu několika desítek scénářů podvodných transakcí, které systém automaticky detekuje a předává k posouzení lidskému operátorovi,“ uvádí mluvčí Hrubý.
Pořád ale platí, že většina problémů vzniká takříkajíc mezi židlí a obrazovkou, tedy neuváženým chováním klientů. Banky jim dlouhodobě doporučují své transakce zabezpečovat a chovat se duchapřítomně. Například vědět, že banka nikdy nebude žádat klienta e‑mailem o zaslání hesla a podobně. „Ať jde o jakýkoliv typ útoku, nejdůležitější je vždy prevence. Cílem útočníka je dostat člověka pod tlak. Musí rychle něco vykonat pod hrozbou ztráty peněz. Lidé pak jednají zkratkovitě,“ potvrzuje Šalša.
Základní doporučení je, že když není cokoliv kolem zabezpečení klientovi jasné nebo si není jistý, jak má postupovat v případě nečekané interakce s bankou, počkat s jakoukoliv transakcí a vše si ověřit.