Čo je AI phishing a ako ho rozpoznať?

Účtovníčke príde e-mail: „Dobrý deň, posielame opravenú faktúru za marec. Prosíme o úhradu do konca dňa, aby sme nemuseli pozastaviť dodávku.“ Správa je zdvorilá, bez preklepov, odkazuje na reálneho dodávateľa a dokonca používa správny podpis. Nič nekričí „podvod“.

V minulosti bol phishing často ľahko rozpoznateľný. Správa mala zvláštnu slovenčinu, čudný formát, neznámeho odosielateľa a pôsobila neprofesionálne. Dnes je situácia iná. Umelá inteligencia dokáže útočníkom pomôcť napísať správu, ktorá vyzerá prirodzene, presvedčivo a osobne.

AI phishing je phishing posilnený umelou inteligenciou. Neznamená to, že e-mail napísal robot od začiatku do konca. Znamená to, že útočník môže použiť AI na písanie textu, preklad, personalizáciu, tvorbu falošných príbehov, napodobnenie štýlu komunikácie alebo prípravu celej kampane.

Ak chcete širší kontext, ako útočníci využívajú umelú inteligenciu mimo phishingu, pozrite si aj článok AI ako útočník: phishing, deepfaky a nové kybernetické hrozby.

Phishing veľmi často nadväzuje na ďalšie techniky sociálneho inžinierstva. Pri hlasových útokoch odporúčame článok deepfake podvody a vishing a pri personalizovaných správach text AI a OSINT.

Ako phishing funguje

Phishing je založený na jednoduchom princípe: útočník predstiera, že je niekto dôveryhodný.

Môže sa tváriť ako banka, kuriérska spoločnosť, mobilný operátor, štátna inštitúcia, známa firma, kolega, šéf alebo zákazník. Správa vás zvyčajne tlačí k rýchlej akcii.

Typické ciele phishingu sú:

  • prinútiť vás kliknúť na odkaz,
  • dostať vás na falošnú prihlasovaciu stránku,
  • presvedčiť vás, aby ste otvorili prílohu,
  • vylákať platobné údaje,
  • získať overovací kód,
  • presvedčiť vás na platbu,
  • získať prístup do firemného systému.

Najväčší problém je, že phishing často nevyzerá dramaticky. Niekedy vyzerá ako úplne obyčajná pracovná správa.

Príklad phishingového e-mailu s podozrivým odosielateľom, urgentným tónom a neočakávanou prílohou

Najčastejšie typy phishingu

E-mailový phishing

Najznámejšia forma. Príde vám e-mail, ktorý sa tvári ako správa od banky, kuriéra, Microsoftu, Googlu, dodávateľa alebo kolegu. Obsahuje odkaz, prílohu alebo výzvu na rýchlu akciu.

Príklad: „Vaše heslo čoskoro expiruje. Prihláste sa a potvrďte účet.“

Smishing

Smishing je phishing cez SMS alebo chatové aplikácie. Často ide o správy o balíkoch, platbách, pokutách alebo bankových účtoch.

Príklad: „Vaša zásielka čaká na doplatenie 1,99 €. Kliknite sem.“

Vishing

Vishing je phishing cez telefón. Útočník volá a snaží sa vás presvedčiť, aby ste niečo urobili. Môže sa tváriť ako pracovník banky, technická podpora, polícia, kuriér alebo nadriadený.

S AI je vishing nebezpečnejší, pretože útočník môže použiť syntetický alebo napodobnený hlas.

Spear-phishing

Spear-phishing je cielený phishing. Nie je to náhodná správa poslaná tisícom ľudí. Je pripravená pre konkrétnu osobu alebo firmu.

Útočník si môže zistiť vaše meno, pozíciu, projekty, kolegov, klientov alebo dodávateľov. Potom vytvorí správu, ktorá pôsobí, akoby patrila do vášho pracovného dňa.

Práve tu sa phishing stretáva s OSINTom: čím viac verejných detailov o firme existuje, tým presvedčivejší môže byť cielený útok.

Business Email Compromise

Tento typ útoku sa často zameriava na firmy. Útočník sa vydáva za riaditeľa, manažéra, dodávateľa alebo obchodného partnera a snaží sa presvedčiť zamestnanca, aby zaplatil faktúru alebo zmenil bankový účet.

Nie je to vždy technický útok. Často je to dobre pripravená manipulácia.

Ako AI mení phishing

AI robí phishing lepším v tom najhoršom zmysle slova.

Lepšia gramatika

Podvodné správy už nemusia mať zlý preklad. AI dokáže napísať text v prirodzene hovorenom jazyku a upraviť tón tak, aby pôsobil ako komunikácia banky, kuriéra, úradu alebo kolegu.

Viac osobných detailov

Útočník si môže pozrieť verejné informácie o firme a ľuďoch. Potom pomocou AI pripraví správu s konkrétnym kontextom.

Napríklad: „Ahoj Martina, k tomu tendru, ktorý riešite tento týždeň, posielam aktualizované podklady.“ Takáto správa je oveľa nebezpečnejšia než všeobecný spam.

Rýchlejšia príprava kampaní

AI dokáže vytvoriť desiatky variantov správ pre rôzne oddelenia. Iný text pre financie, iný pre HR, iný pre obchod, iný pre IT.

Lepšie napodobnenie štýlu

Ak má útočník k dispozícii verejné texty konkrétnej osoby, môže sa pokúsiť napodobniť jej štýl. Správa potom môže znieť podobne ako bežná komunikácia manažéra alebo kolegu.

Checklist: ako rozpoznať phishing

Keď dostanete podozrivú správu, spomaľte. Nemusíte byť IT expert. Stačí si položiť niekoľko jednoduchých otázok.

1. Tlačí ma správa do rýchlej akcie?

Phishing často používa časový tlak: „ihneď“, „do 24 hodín“, „posledná výzva“, „urgentné“ alebo „inak bude účet zablokovaný“. Čím väčší tlak, tým viac treba overovať.

2. Žiada odo mňa heslo, kód alebo platbu?

Nikdy neposielajte heslá ani overovacie kódy cez e-mail, SMS alebo chat. Ak niekto žiada kód z SMS, je to veľmi silný varovný signál.

3. Sedí adresa odosielateľa?

Pozrite sa nielen na meno odosielateľa, ale aj na e-mailovú adresu. Útočník môže použiť meno „Slovenská pošta“, ale adresa môže byť úplne iná. Pozor aj na drobné zmeny v doméne, zámenu písmen, pomlčky alebo podozrivé koncovky.

4. Vedie odkaz tam, kam tvrdí?

Neklikajte automaticky. Na počítači môžete prejsť myšou nad odkaz a pozrieť si, kam vedie. Na mobile je to ťažšie, preto buďte ešte opatrnejší. Bezpečnejšie je otvoriť si oficiálnu stránku ručne v prehliadači.

5. Je príloha očakávaná?

Neotvárajte prílohy, ktoré ste nečakali. Najmä ak ide o faktúry, dokumenty, archívy alebo súbory, ktoré vyžadujú povolenie makier či dodatočné prihlasovanie.

6. Sedí kontext?

Pýtajte sa: Čakal som túto správu? Dáva zmysel, že mi píše práve tento človek? Je bežné, že by odo mňa chcel takúto akciu? Ak nie, overte si to.

7. Dá sa požiadavka overiť iným kanálom?

Pri platbách, zmenách účtov, prístupoch a citlivých dátach vždy overujte cez iný kanál. Zavolajte na známe číslo, napíšte cez interný chat alebo sa opýtajte osobne.

Čo robiť, keď ste klikli na phishing

Kliknúť môže každý. Dôležité je nepanikáriť a konať rýchlo.

Ak ste len klikli na odkaz, ale nič ste nezadali, zavrite stránku a nahláste správu IT alebo správcovi. Ak ste zadali heslo, okamžite ho zmeňte. Ak rovnaké heslo používate aj inde, zmeňte ho aj tam. Ak ste zadali údaje karty, kontaktujte banku. Ak ide o firemný účet, informujte firmu okamžite.

Najhoršie je mlčať zo strachu alebo hanby. Útočníci počítajú s tým, že ľudia budú incident skrývať. Rýchle nahlásenie môže zachrániť účet, peniaze aj firemné dáta.

Ako sa chrániť dlhodobo

Používajte viacfaktorové overenie (MFA). Aktualizujte zariadenia. Nepoužívajte rovnaké heslo všade. Používajte správcu hesiel. Dávajte pozor na verejné Wi-Fi siete. A hlavne: overujte podozrivé požiadavky.

Vo firme pomáha pravidelné školenie, jednoduchý spôsob nahlasovania podozrivých správ, simulovaný phishingový test a jasné pravidlá pre platby či zmeny bankových účtov.

Záver

AI phishing je nebezpečný preto, že pôsobí normálne. Nehrá sa na technický zázrak. Využíva bežnú komunikáciu, bežný stres a bežnú dôveru.

Najlepšia obrana je jednoduchá: spomaliť, overiť, neklikať automaticky a nepodliehať tlaku. Ak správa vyvoláva paniku, urgentnosť alebo žiada citlivé údaje, je čas zbystriť pozornosť.

Súvisiace články

Nečakajte, kým niekto klikne - otestujte phishingovú odolnosť svojej firmy.

Rezervovať