Jak AI personalizuje oszustwa – i jak pozwala je zwalczać?

Najważniejszą obawą w kontekście cyberbezpieczeństwa w 2026 roku wcale nie są wykwalifikowani hakerzy, którzy niczym w filmach akcji podłączają się do zamkniętych sieci, by rozprowadzać tam oprogramowanie kontrolujące wszystko dookoła.

Nie, największym problemem są "zwykli" oszuści, którzy przypadkiem w związku z preludium do piątej rewolucji przemysłowej zyskali potężnego sprzymierzeńca w tworzeniu szkodliwych, zarówno masowych, jak i precyzyjnych ataków.

Jednym z symboli wagi zagrożenia jest skuteczność personalizowanego phishingu, który stosowany jest w tej chwili masowo. Zespół CERT (Computer Emergency Response Team) Polska, odpowiedzialny za reagowanie na incydenty bezpieczeństwa komputerowego, informuje o nowych atakach tego typu często kilka razy dziennie.

Phishing to metoda polegająca na wyłudzaniu danych, informacji osobistych i dostępów do systemów. Obejmować może zarówno prywatnych przedsiębiorców i klientów banków, jak i osoby decyzyjne, prezesów spółek, urzędników, polityków, prawników, a nawet personel militarny. Oszust podszywa się pod inną osobę lub instytucję w kilku celach:

Phishing nie jest zjawiskiem nowym. Termin ten pojawił się w roku 1994 w związku z cyberatakami na platformie America Online. Metody przestępców przez lata ewoluowały, jednak ich podstawowe założenie pozostawało takie samo. Idea ataku opierała się na masowym wykorzystaniu e-maili, SMS-ów, połączeń telefonicznych, a także wiadomości w ramach komunikatorów internetowych.

Wszystko zmieniło się w roku 2022, gdy w ręce oszustów wpadły generatywne modele językowe. Okazało się to początkiem gigantycznego kryzysu, o którym od lat alarmują eksperci. Jak podaje NASK (w którego obrębie funkcjonuje CERT), w 2025 roku liczba zarejestrowanych incydentów cyberbezpieczeństwa wzrosła o 152 proc. Aż 97 proc. z nich stanowiły oszustwa komputerowe – w tym phishing, oszustwa inwestycyjne i inne formy wyłudzania danych lub pieniędzy.

Dotychczasowy sposób funkcjonowania grup hakerskich utrudniony był przez barierę kulturową i językową oraz podstawowe szkolenia w zakresie cyberbezpieczeństwa. Tym razem zagrożenie jest znacznie bardziej realne.

Hakerzy wyposażeni w narzędzia takie jak Gemini, ChatGPT i Claude mogą budować głębsze i mniej podatne na wykrycie relacje z ofiarami phishingu. Są też znacznie bardziej responsywni i mogą od razu reagować na zachowania celów ataku, a także budować w nich wysoki poziom zaufania. Mogą więc zarówno tworzyć silniejszą presję na ofierze, jak i wyłudzać dane powoli, ale bardziej skutecznie.

Te strategie okazują się niezwykle przebiegłe. Ofiara ataku może nigdy się nie dowiedzieć, że to ona była podatnością w cyberataku. Oszuści zachowują się "naturalnie" i stają się autorami bardzo skutecznej szkodliwej inżynierii społecznej (nawet niekoniecznie zdając sobie z tego sprawę).

Jedną z ważniejszych obaw w kontekstach cyberbezpieczeństwa jest niski próg wejścia. Oszuści nie muszą być wysoce wykwalifikowani, by korzystać z narzędzi AI; co więcej, one same mogą ich doedukować we względach technicznych takich ataków.

Współczesna taktyka cyberprzestępcy coraz częściej przypomina modus operandi, który przypisalibyśmy raczej zwykłemu kieszonkowcowi. Nie ma w tym finezji, ale za to jest wysoka skuteczność.

Jak wskazuje raport Agencji Unii Europejskiej ds. Cyberbezpieczeństwa, sztuczna inteligencja staje się jednym z kluczowych elementów kształtujących współczesny krajobraz zagrożeń, a jej wykorzystanie przez cyberprzestępców zwiększa skalę i skuteczność ataków socjotechnicznych. W tym kontekście szczególnego znaczenia nabiera zdolność organizacji do szybkiego rozpoznawania nowych wektorów ataku i adaptacji modeli zarządzania ryzykiem.

Coraz wyraźniej widać przy tym, że poziom bezpieczeństwa i dojrzałości instytucji finansowej przestaje być wyłącznie wewnętrzną kwestią wewnętrzną – staje się czynnikiem wpływającym na bezpieczeństwo klientów i ich decyzje. To, w jaki sposób organizacja zarządza ryzykiem cyfrowym i czy inwestuje w rozwój dojrzałych, bezpiecznych technologii, staje się elementem przewagi rynkowej.

"Wraz z rosnącą skalą wykorzystania AI, kluczowe staje się systemowe podejście do jej wdrażania – obejmujące nie tylko technologię, ale też procesy, zarządzanie ryzykiem i nadzór nad całym cyklem życia modeli i systemów sztucznej inteligencji" – podkreśla Damian Jagusz, zastępca dyrektora ds. bezpieczeństwa i odporności cyfrowej ERGO Hestii, jednego z największych zakładów ubezpieczeń w Polsce. "W ERGO Hestii konsekwentnie budujemy podstawy bezpiecznego rozwoju i wykorzystania najnowszych technologii – potwierdzeniem jest m.in. uzyskanie jako pierwszy zakład ubezpieczeń certyfikacji ISO 42001, która pokazuje wysoką dojrzałość ram zarządzania AI w spółce. Mamy przy tym świadomość, że w obszarze AI równie ważne jak rozwój technologii jest ciągłe monitorowanie trendów, ryzyka i podnoszenie kompetencji – od deweloperów tych rozwiązań po ich użytkowników i naszych klientów".

W lutym 2026 roku Google opublikowało raport swojej wewnętrznej jednostki analitycznej – Google Threat Intelligence Group (GTIG), który upublicznił informacje firmy na temat ryzyka związanego z wykorzystaniem AI przez grupy hakerskie. Raport ten skoncentrowany był przede wszystkim na wyżej opisanej zmianie zakresu wykorzystania sztucznej inteligencji w obszarze cyberbezpieczeństwa. AI pozwala na wielopoziomową ofensywę – identyfikację ofiary, zgromadzenie danych na jej temat i wreszcie atak – coraz częściej przyjmujący formę skutecznego phishingu. Co więcej, Google potwierdza, że tego typu ataki były podejmowane i nawet wskazuje konkretne grupy hakerskie, które mogą być za nie odpowiedzialne.

Jednak AI to nie tylko phishing. W lutym media doniosły, że haker wykorzystał Claude firmy Anthropic do włamania się do wielu meksykańskich agencji rządowych. Przestępca ukradł 150 GB poufnych danych, a jego kampania trwała kilka miesięcy. To, co jest najbardziej intrygujące w tym przypadku, to fakty wykorzystania Claude jako testera. Haker wmówił modelowi językowemu, że współpracuje z nim w ramach działań na rzecz meksykańskiego rządu. Chatbot dał się nabrać i pomimo pewnych wątpliwości ostatecznie wspomógł przestępcę w omijaniu zabezpieczeń i planowaniu ataku.

To jedynie dwa z wielu przykładów skuteczności AI w nowoczesnej cyberprzestępczości. Wartym odnotowania jest to, że zarówno Google, jak i Anthropic w reakcji na zdarzenia postąpiły w odpowiedni sposób. Firmy udostępniły informacje na temat ataków i przyznały się do wad w ich oprogramowaniu.

W takich sytuacjach kluczowe są właśnie przejrzystość i umiejętność przyznania się do istnienia ciemnej strony oprogramowania. Najgorszym, co może robić firma, która padła ofiarą cyberataków (lub w tym wypadku w nich partycypowała), to ukrywanie odpowiedzialności i brak publicznego informowania o zdarzeniu.

Te same mechanizmy, które tak silnie sprzyjają precyzji i skali ataków, sprzyjają możliwości ich detekcji i walki z nimi. AI może działać jako dostępny 24 godziny na dobę analityk, który systematycznie analizuje zagrożenia z każdego kierunku. Algorytmy często już w tym momencie nas chronią, choć o tym nie wiemy. Ich aktywność pozwala na wychwytywanie i neutralizację podejrzanych wiadomości w ułamku sekundy.

Co więcej, firmy wykorzystują AI w ramach kontrolowanych ataków phishingowych na własnych pracownikach. Sztuczne ataki są elementami audytów bezpieczeństwa i pozwalają na precyzyjniejszą ocenę, które struktury są bardziej narażone na ich wpływ, a także na modelowanie ich przebiegu, by skuteczniej móc im zapobiec.

W wyścigu zbrojeń z oszustami posługującymi się AI uczestniczy także CERT. Jak podaje NASK, w walce z oszustami kluczowe jest budowanie systemów, w których sztuczna inteligencja wspiera wykrywanie zagrożenia, a także analizuje i monitoruje bezpieczeństwo firm, instytucji i indywidualnych użytkowników.

Zautomatyzowane i półzautomatyzowane rozwiązania doprowadziły do wykrycia 650 tys. podatności i wad w konfiguracji, a także dotarły do informacji na temat 5,5 miliona haseł, które padły ofiarą wycieków danych.

Każda instytucja, gromadząc i przetwarzając dane, naraża się na skutki cyberataków. Świadomość i minimalizacja ryzyka są niezwykle istotne, szczególnie wśród przedsiębiorstw działających w obszarze edukacji, hotelarstwa, gastronomii, służby zdrowia, prawnictwa i e-commerce.

Niestety, nawet najbardziej zaawansowane systemy odpierania phishingu wspartego przez AI nie będą nigdy skuteczne w 100 proc. Eksperci od cyberbezpieczeństwa są w tym zgodni: najsłabszym ogniwem był i zawsze będzie człowiek. Systemy cyfrowe działają według matematycznej logiki i ścisłych reguł, a ludzkie zachowanie jest podatne na emocje i manipulacje, a także pełne błędów poznawczych.

Wiele firm poza rozwojem standardów zabezpieczających i inwestycjami w rozwiązania IT sięga po ubezpieczenie od ryzyk cybernetycznych. Takie rozwiązanie ma chronić przed finansowymi skutkami wycieku danych elektronicznych, dodatkowymi kosztami i następstwami naruszeń danych osobowych.