Cyberprzestępcy coraz częściej wykorzystują AI. Automatyzacja ataków wchodzi w nową fazę

Wprowadzenie do problemu / definicja

Sztuczna inteligencja przestała być wyłącznie wsparciem dla zespołów bezpieczeństwa i analityków. Coraz wyraźniej staje się również narzędziem wykorzystywanym przez cyberprzestępców do skalowania phishingu, socjotechniki, oszustw oraz przygotowywania elementów infrastruktury ataku. Kluczowa zmiana polega na tym, że AI nie jest już jedynie obiektem eksperymentów, ale staje się praktycznym komponentem operacyjnym w realnych kampaniach przestępczych.

Rosnąca dostępność modeli językowych, narzędzi generatywnych i agentów autonomicznych obniża próg wejścia do cyberprzestępczości. Dzięki temu nawet mniej zaawansowani technicznie napastnicy mogą szybciej przygotowywać wiarygodne komunikaty, personalizować przynęty i automatyzować wybrane etapy ataku.

W skrócie

• AI zwiększa skalę, tempo i elastyczność kampanii phishingowych oraz oszustw tożsamościowych.
• Modele językowe wspierają personalizację wiadomości, rekonesans i tworzenie skryptów pomocniczych.
• Na forach przestępczych pojawiają się narzędzia promowane jako mniej ograniczone lub działające offline.
• Część ekspertów ocenia AI jako nową fazę uprzemysłowienia cyberprzestępczości, inni wskazują, że to głównie akcelerator istniejących technik.

Kontekst / historia

Cyberprzestępczość od lat funkcjonuje w modelu usługowym, opartym na wyspecjalizowanych rolach i sprzedaży gotowych komponentów, takich jak malware-as-a-service, ransomware-as-a-service czy handel dostępem do przejętych środowisk. Upowszechnienie generatywnej AI nie zlikwidowało tego modelu, ale zaczęło go wzmacniać poprzez automatyzację zadań, które wcześniej wymagały większego nakładu pracy.

We wcześniejszej fazie przestępcy wykorzystywali publicznie dostępne modele głównie do poprawy jakości tekstów, tłumaczeń i generowania prostych wiadomości phishingowych. Z czasem zaczęły pojawiać się mniej restrykcyjne chatboty reklamowane w środowiskach przestępczych, a także lokalne konfiguracje modeli pozwalające omijać zabezpieczenia obecne w komercyjnych usługach. W efekcie AI została włączona do istniejącego ekosystemu cyberprzestępczego jako kolejny mnożnik wydajności.

Obecnie obserwujemy etap, w którym sztuczna inteligencja wspiera coraz więcej elementów łańcucha ataku: od rekonesansu, przez socjotechnikę i analizę danych, po dostosowywanie kampanii na podstawie reakcji ofiar.

Analiza techniczna

Najbardziej widocznym zastosowaniem AI pozostaje automatyzacja phishingu i spear phishingu. Modele językowe potrafią tworzyć poprawne językowo i kontekstowo wiadomości w wielu językach, co znacząco utrudnia ich rozpoznanie. Po połączeniu z danymi z wycieków, serwisów społecznościowych lub publicznych rejestrów możliwe staje się przygotowywanie spersonalizowanych przynęt na dużą skalę.

Drugim obszarem jest wsparcie rekonesansu. Narzędzia AI ułatwiają porządkowanie dużych zbiorów informacji o organizacji, identyfikowanie kluczowych pracowników, analizowanie relacji biznesowych i budowanie profili osób uprzywilejowanych. To tworzy korzystne warunki do ataków BEC, podszywania się pod kadrę zarządzającą oraz oszustw fakturowych.

Kolejny element to wsparcie tworzenia kodu i artefaktów operacyjnych. W praktyce nie chodzi wyłącznie o generowanie pełnego złośliwego oprogramowania, lecz także o przygotowanie skryptów pomocniczych, makr, loaderów, narzędzi walidujących skradzione dane logowania czy fragmentów kodu automatyzujących kampanię. AI skraca czas przygotowania operacji i zwiększa produktywność operatora.

Istotne znaczenie mają również rozwiązania promowane jako „nieocenzurowane” lub działające lokalnie. Dla napastników oznacza to mniejsze ryzyko blokady, większą przewidywalność działania oraz większą swobodę przy generowaniu treści oszukańczych i instrukcji operacyjnych. Dodatkowo automatyczna analiza odpowiedzi ofiar pozwala klasyfikować cele i dynamicznie modyfikować kolejne komunikaty, co przypomina optymalizację kampanii marketingowych, ale zastosowaną do działalności przestępczej.

Warto jednak podkreślić, że nie wszyscy badacze oceniają skalę tej zmiany jednakowo. Część analiz wskazuje na jakościowy przełom, natomiast inne podkreślają, że obecnie AI przede wszystkim przyspiesza i ułatwia istniejące techniki, zamiast całkowicie zastępować wiedzę ekspercką.

Konsekwencje / ryzyko

Najważniejszym skutkiem wykorzystania AI przez cyberprzestępców jest wzrost skali i tempa ataków. Kampanie mogą być uruchamiane szybciej, taniej i w większej liczbie wariantów, co utrudnia obronę opartą wyłącznie na prostych wskaźnikach kompromitacji. Organizacje muszą liczyć się z większą liczbą wiarygodnych prób wyłudzenia i bardziej przekonującą socjotechniką.

Drugim ryzykiem jest demokratyzacja zdolności ofensywnych. Osoby o ograniczonym doświadczeniu technicznym zyskują dostęp do narzędzi, które pomagają tworzyć przekonujące wiadomości, proste skrypty i kampanie oszukańcze. To zwiększa liczbę aktywnych zagrożeń i dodatkowo obciąża zespoły bezpieczeństwa.

Nie bez znaczenia pozostaje także rosnąca skuteczność fraudów i ataków opartych na tożsamości. AI wzmacnia podszywanie się pod pracowników, przełożonych i partnerów biznesowych, a w połączeniu z danymi z wycieków może podnosić efektywność ataków finansowych oraz przejmowania kont. Równolegle trudniejsza staje się detekcja, ponieważ wiadomości generowane przez modele są stylistycznie bardziej zróżnicowane i pozbawione oczywistych błędów charakterystycznych dla dawnych kampanii phishingowych.

Rekomendacje

Organizacje powinny przyjąć, że AI stała się standardowym elementem współczesnych kampanii atakujących. Oznacza to konieczność aktualizacji modeli zagrożeń, scenariuszy detekcji oraz procedur reagowania.

• Wzmocnić ochronę poczty elektronicznej i kanałów komunikacji biznesowej poprzez analizę kontekstową, kontrolę tożsamości nadawców oraz egzekwowanie MFA.
• Rozszerzyć szkolenia użytkowników o scenariusze zaawansowanej socjotechniki, które nie opierają się na oczywistych błędach językowych.
• Wprowadzić procedury weryfikacji wysokiego ryzyka dla przelewów, zmian danych rozliczeniowych, resetów dostępu i nietypowych poleceń od rzekomych przełożonych.
• Rozbudować monitoring SOC o oznaki automatyzowanego rekonesansu, masowej personalizacji kampanii i nietypowych sekwencji interakcji z ofiarami.
• Objąć kontrolą zasady używania narzędzi AI w organizacji, aby ograniczyć ryzyko wycieku danych i niekontrolowanego rozszerzania powierzchni ataku.

Podsumowanie

Wykorzystanie AI przez cyberprzestępców staje się trwałym elementem współczesnego krajobrazu zagrożeń. Najważniejszą zmianą nie jest dziś wizja w pełni autonomicznych ataków, lecz praktyczne przyspieszenie phishingu, rekonesansu, oszustw tożsamościowych i przygotowania komponentów operacyjnych. Dla obrońców oznacza to konieczność traktowania AI nie jako zagrożenia przyszłości, ale jako bieżącego czynnika zwiększającego skalę, szybkość i adaptacyjność cyberataków.

Źródła

• https://www.infosecurity-magazine.com/news/ai-supercharges-attacks-cybercrime/
• https://www.group-ib.com/media-center/press-releases/weaponised-ai-cybercrime/
• https://www.group-ib.com/resources/research-hub/weaponized-ai/
• https://www.sentinelone.com/labs/llms-ransomware-an-operational-accelerator-not-a-revolution/
• https://arxiv.org/abs/2602.14783