Zima 2024 r. Dyrektor finansowy biura w Hongkongu brytyjskiej firmy inżynieryjno-konsultingowej Arup spotyka się na wideokonferencji ze swoimi szefami z londyńskiej siedziby. W pewnym momencie szefowie zlecają mu wykonanie kilkunastu przelewów o równowartości 25 mln dol. na wskazane konta. Dyrektor wykonuje polecenie.
Co w tej historii jest prawdziwe? Dyrektor finansowy oraz przelane pieniądze. Natomiast szefów z londyńskiej siedziby – ich wizerunek oraz głosy – wygenerowała sztuczna inteligencja. Cyberprzestępcy nie złamali systemów informatycznych firmy. Udało im się oszukać człowieka, który zaufał głosom i obrazom.
Historia odbiła się szerokim echem w światowych mediach. Pojawiają się wątpliwości, czy faktycznie taki był przebieg ataku. Mówi się, że mogło dojść do oszustwa biznesowego, a deepfake, czyli wygenerowany przez AI obraz, mógł być jedynie zasłoną dymną odwracającą uwagę od prawdziwego mechanizmu wyłudzenia pieniędzy. Niezależnie od tego, co ustali policja, która prowadzi śledztwo w tej sprawie, ta historia jest ostrzeżeniem i pokazuje, do czego może być zdolna sztuczna inteligencja.
– Musimy zadać sobie pytanie, na ile dziś jesteśmy w stanie zaufać zmysłom. Czy to, co słyszymy i co widzimy, to rzeczywistość. Rozwój sztucznej inteligencji pokazuje, że to jest coraz trudniejsze – mówi Patryk Gęborys, dyrektor Biura Cyberbezpieczeństwa w Grupie PZU, w wideopodcaście Scamming Out!, akcji zainicjowanej przez redakcje Pulsu Biznesu i Bankier.pl. Jej celem jest edukowanie Polaków i wypracowanie rozwiązań zwiększających skuteczność walki ze scamem.
Jego zdaniem nie jesteśmy jeszcze w stanie w czasie rzeczywistym wygenerować obrazów niewzbudzających podejrzeń, ale oszuści mogą wcześniej przygotować materiały wizualne lub inne narzędzia, które zwiększą wiarygodność cyberataku.
– Phishing, czyli wysyłanie e-maili, które podstępem namawiają do kliknięcia w jakiś link, przekazania pieniędzy, danych, informacji – to się cały czas dzieje, a dzięki sztucznej inteligencji ataki stają się coraz bardziej profesjonalne – mówi Patryk Gęborys.
Dobrym przykładem jest język. W przeszłości ataki kierowane do Polaków przez osoby spoza naszego kręgu kulturowego stosunkowo łatwo zdradzały się charakterystycznymi błędami językowymi. Dziś jednak stworzenie wiarygodnie wyglądającej wiadomości e-mail nie stanowi już żadnego problemu.
Firmy wyczulone na cyberzagrożenia
Patryk Gęborys podkreśla, że nagłaśniane sprawy ataków na firmy z wielomilionowymi stratami w tle sprawiają, że przedsiębiorcy stają sią coraz dojrzalsi w zakresie procesów biznesowych, np. procedur dotyczących autoryzacji przelewów wychodzących z rachunku firmowego. Nieco gorzej jest w mniejszych firmach o silnej kulturze właścicielskiej, gdzie szef decyduje o wszystkim.
– Wyobraźmy sobie, że przestępcy podrabiają głos właściciela, a następnie – wykorzystując metody socjotechniczne – zlecają pracownikom dokonanie przelewu. Który księgowy w mniejszej firmie będzie chciał dyskutować z właścicielem? – pyta retorycznie Gęborys. W jego ocenie nadal 95-99 proc. cyberataków polega na wykorzystaniu socjotechniki, a więc wywołaniu sytuacji stresowej czy efektu zaskoczenia w celu nakłonienia do przekazania pieniędzy lub cennych, wrażliwych danych.
Innym słabym punktem przedsiębiorstw może być tzw. „kret” — osoba legalnie zatrudniona w firmie, która może pomóc oszustom uzyskać dostęp do jej informatycznego serca. W dobie pracy zdalnej to zagrożenie jest większe niż w przeszłości. Zdarza się, że firmy zatrudniają pracowników w pełni zdalnie – począwszy od procesu rekrutacyjnego, skończywszy na wykonywaniu codziennych obowiązków.
– To jest duże wyzwanie, bo według polskiego prawa mamy ograniczone możliwości weryfikacji tożsamości zatrudnianego pracownika, o ile nie są to sektory regulowane. Na to ryzyko wskazują instytucje, np. Komisja Nadzoru Finansowego, która uczula firmy na to, by obserwowały pracowników zdalnych pod kątem potencjalnych cyberzagrożeń – mówi szef cyberbezpieczeństwa w PZU.
Ekspert zwraca uwagę na to, że obecnie prawdziwa skala cyberataków – udanych lub ich prób – na polskie firmy nie jest znana. Sytuację może zmienić nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, znacznie rozszerzająca katalog podmiotów zobowiązanych do raportowania poważnych incydentów bezpieczeństwa. Obecnie takim obowiązkiem objętych jest kilkaset firm.
– Szacuje się, że po nowelizacji obejmie on nawet kilkadziesiąt tysięcy przedsiębiorstw, a więc siła rażenia będzie zdecydowanie większa – mówi Patryk Gęborys.
Co trzecia polska firma na celowniku oszustów
Z opublikowanego w listopadzie 2025 r. raportu Biura Informacji Kredytowej wynika, że w 2025 r. styczność ze zdarzeniami fraudowymi, czyli próbami oszustw i wyłudzeń, często przy użyciu technologii, miało niemal 32 proc. firm z sektora MŚP. Eksperci BIK podkreślają, że skali zjawiska nie determinują ani branża, ani wielkość, bo zagrożone są wszystkie podmioty.
Blisko jedna trzecia badanych (34 proc.) wskazała, że ich firmy stały się celem cyberataków. Co najbardziej niepokojące, wśród przedsiębiorstw, które padły ofiarą prób wyłudzeń, ponad połowa deklaruje, że incydenty te występowały nawet 10 razy w ciągu roku.
– Największą bolączką polskich przedsiębiorców są fałszywe maile z linkami do systemów płatności oraz oszukańcze faktury. Na te pierwsze wskazało ponad 35 proc. badanych. Miejsce drugie – z niemal 33 proc. wskazań, zajęły fałszywe faktury do zapłaty np. za usługi, których firmy nie zamawiały, bądź ze zmienionym numerem konta kontrahenta – mówi Andrzej Karpiński, dyrektor departamentu bezpieczeństwa w BIK.
Dodaje, że w arsenale przestępców znajdowały się metody z wykorzystaniem socjotechnik takie jak SMS-y z nakazem przelewu, próby przejęcia dostępu do danych bankowych czy podszywanie się pod inną firmę lub kontrahenta. Od 2024 r. w każdym z tych przypadków wzrosła liczba zdarzeń.
Skala cyberataków jest niepokojąca, ale czy Polska potrzebuje kolejnych regulacji związanych z cyberbezpieczeństwem?
– Ważne, żeby instytucje, które sprawują nadzór nad obszarem infrastruktury krytycznej, znalazły sposób i środki, by nie tylko wprowadzać regulacje, ale żeby też weryfikować i pomagać organizacjom i firmom lepiej się zabezpieczać przed atakami – mówi Patryk Gęborys.
Sytuację w sferze cyberpezpieczeństwa porównuje do ograniczania prędkości.
– Nie możemy wszędzie ustawiać tych ograniczeń. Po pierwsze, trzeba to zrobić z sensem, a po drugie trzeba jeszcze postawić fotoradar, który będzie weryfikował, czy prędkość jest przestrzegana. Podobnie jest z walką z cyberprzestępczością. Zachęcam do zwiększonej czujności i krytycznego myślenia, czyli niebrania wszystkiego, co widzimy i słyszymy w tej chwili, za dobrą monetę – apeluje Patryk Gęborys.
Partnerem publikacji jest PZU
