Cyberprzestępcy obawiają się, że AI odbierze im „pracę”. Automatyzacja zmienia podziemie cyberprzestępcze

Wprowadzenie do problemu

Rozwój sztucznej inteligencji wpływa dziś nie tylko na zespoły bezpieczeństwa i dostawców technologii, ale również na samo środowisko cyberprzestępcze. Narzędzia generatywnej AI są coraz częściej wykorzystywane do automatyzacji działań, które wcześniej wymagały czasu, doświadczenia i pracy człowieka. Dotyczy to zwłaszcza phishingu, oszustw socjotechnicznych, rekonesansu oraz przygotowywania treści i prostych komponentów technicznych.

W efekcie pojawia się nowy trend: część cyberprzestępców zaczyna postrzegać AI nie tylko jako wsparcie, ale także jako zagrożenie dla własnej roli w przestępczym łańcuchu wartości. Szczególnie dotyczy to mniej zaawansowanych operatorów, których przewaga opierała się dotąd na ręcznym tworzeniu kampanii, komunikacji z ofiarami i szybkiej adaptacji scenariuszy ataku.

W skrócie

Sztuczna inteligencja przyspiesza uprzemysłowienie cyberprzestępczości. Automatyzuje tworzenie treści phishingowych, poprawia personalizację oszustw, wspiera analizę danych i obniża próg wejścia dla osób o mniejszych kompetencjach technicznych.

Z perspektywy organizacji niepokój przestępców jest sygnałem szerszej zmiany: ataki stają się szybsze, bardziej skalowalne i łatwiejsze do uruchomienia. Oznacza to wzrost presji na automatyzację obrony, skuteczniejsze kontrole tożsamości oraz aktualizację programów bezpieczeństwa pod kątem zagrożeń wspieranych przez AI.

Kontekst i historia

Cyberprzestępczość od dawna rozwija się według przewidywalnego wzorca. Najpierw nowe technologie wzmacniają bardziej dojrzałe i zorganizowane grupy, a następnie stają się dostępne dla szerszego podziemia. Taki model był widoczny między innymi w przypadku ransomware-as-a-service, brokerów dostępu początkowego czy gotowych zestawów exploitów.

AI wpisuje się w ten sam schemat, ale tempo adaptacji jest wyraźnie szybsze. Zamiast służyć wyłącznie do poprawiania jakości wiadomości phishingowych, zaczyna wspierać całe łańcuchy operacyjne: od rekonesansu, przez tworzenie pretekstów, po automatyzację interakcji z ofiarą. To właśnie ten wzrost efektywności sprawia, że część mniej wykwalifikowanych przestępców zaczyna obawiać się marginalizacji.

W praktyce oznacza to przesunięcie znaczenia z prostych zadań wykonywanych ręcznie na koordynację procesu, dobór narzędzi, zarządzanie kampanią i monetyzację efektów ataku. Osoby, które wcześniej dostarczały głównie operacyjną pracę wykonawczą, mogą tracić wartość, jeśli podobne rezultaty da się osiągnąć szybciej przy pomocy modeli AI.

Analiza techniczna

Techniczny sens tych obaw jest prosty: wiele czynności w cyberprzestępczości opierało się na powtarzalnych zadaniach, które dobrze nadają się do automatyzacji. Nowoczesne modele językowe i systemy generatywne potrafią przejmować znaczną część pracy związanej z komunikacją, wariantowaniem treści oraz podstawowym wsparciem technicznym.

• generowanie wielojęzycznych wiadomości phishingowych i scenariuszy oszustw,
• tworzenie skryptów rozmów dla kampanii vishingowych i fraudowych,
• automatyczne przygotowywanie wielu wariantów treści dla różnych branż i person,
• analizę danych z wycieków i źródeł otwartych pod kątem personalizacji ataku,
• pomoc w tworzeniu prostych skryptów, makr, loaderów i narzędzi wspierających operacje,
• skalowanie działań przy mniejszym zaangażowaniu człowieka.

To nie oznacza całkowitego wyeliminowania operatora. Bardziej złożone operacje nadal wymagają decyzji dotyczących wyboru celu, obchodzenia zabezpieczeń, utrzymywania dostępu czy monetyzacji. Jednak na niższych poziomach zaawansowania AI znacząco redukuje koszt i czas realizacji zadań, które wcześniej stanowiły podstawę pracy wielu cyberprzestępców.

W praktyce wartość przesuwa się więc z manualnej realizacji na orkiestrację. Ten, kto potrafi połączyć gotowe usługi, dane, infrastrukturę i modele AI w jeden skuteczny łańcuch ataku, zyskuje przewagę nad osobą wykonującą każdy etap ręcznie.

Konsekwencje i ryzyko

Dla organizacji najważniejszą informacją nie jest sam lęk cyberprzestępców przed utratą „pracy”, lecz to, co ten lęk sygnalizuje. Cyberprzestępczość wchodzi w kolejny etap automatyzacji, standaryzacji i skalowania działań.

Po pierwsze, rośnie liczba potencjalnych atakujących. Osoby o ograniczonych umiejętnościach technicznych mogą wykorzystywać AI do tworzenia wiarygodnych kampanii oraz szybkiego przygotowywania elementów pomocniczych.

Po drugie, zwiększa się jakość ataków socjotechnicznych. Lepsza personalizacja, poprawność językowa i możliwość błyskawicznego testowania wariantów przekładają się na większą skuteczność phishingu, BEC, vishingu i oszustw opartych na podszywaniu się.

Po trzecie, skraca się czas między przygotowaniem a wykonaniem ataku. To utrudnia wczesną detekcję i zmniejsza margines reakcji po stronie zespołów bezpieczeństwa.

Po czwarte, rośnie presja na automatyzację działań obronnych. Organizacje, które opierają się przede wszystkim na ręcznej analizie alertów i klasycznych szkoleniach świadomościowych, mogą coraz częściej przegrywać z tempem kampanii wspieranych przez AI.

Rekomendacje

Organizacje powinny traktować AI jako realny czynnik przyspieszający cyberprzestępczość, a nie jedynie temat futurystycznych dyskusji. W praktyce warto wdrożyć działania ograniczające skuteczność zautomatyzowanych kampanii.

• wzmocnić ochronę poczty i procesów komunikacyjnych z użyciem mechanizmów takich jak DMARC, SPF i DKIM,
• rozszerzyć szkolenia o scenariusze obejmujące deepfake audio, zaawansowany spear phishing i manipulację kontekstową,
• zwiększyć nadzór nad tożsamościami, kontami uprzywilejowanymi i procesami finansowymi,
• wdrożyć silne mechanizmy MFA odporne na phishing tam, gdzie jest to możliwe,
• automatyzować detekcję i reakcję w SOC, aby skracać czas identyfikacji anomalii,
• opracować polityki bezpiecznego użycia AI w organizacji,
• regularnie ćwiczyć scenariusze incydentowe związane z oszustwami wspieranymi przez AI.

Podsumowanie

Obawy cyberprzestępców przed tym, że AI odbierze im „pracę”, są symptomem głębszej transformacji krajobrazu zagrożeń. Sztuczna inteligencja nie eliminuje przestępców, lecz zmienia ich model działania: automatyzuje zadania powtarzalne, obniża próg wejścia i zwiększa skalę operacji.

Dla obrońców oznacza to konieczność szybszego dojrzewania operacyjnego, większej automatyzacji procesów bezpieczeństwa oraz aktualizacji modeli ryzyka. Firmy, które odpowiednio wcześnie dostosują kontrole, monitoring i procedury reagowania, będą lepiej przygotowane na nową falę ataków wspieranych przez AI.

Źródła

• Low-Skilled Cybercriminals Use AI to Perform “Vibe Extortion” Attacks – Infosecurity Magazine
• AI Supercharges Attacks in Cybercrime’s New 'Fifth Wave’ – Infosecurity Magazine
• What hackers talk about when they talk about AI: Early-stage diffusion of a cybercrime innovation
• The People Hacker: AI a Game-Changer in Social Engineering Attacks – Infosecurity Magazine
• Is AI here to take or redefine your cybersecurity role? – CSO Online