Phishing AI i personalizacja z OSINT

TL;DR

Phishing AI nie polega wyłącznie na poprawniejszym języku wiadomości. Największa zmiana dotyczy personalizacji. G DATA opisał eksperyment, w którym publicznie dostępne informacje o osobie zostały wykorzystane do stworzenia profilu i przygotowania wiadomości dopasowanej do tonu, środowiska zawodowego, zainteresowań i potencjalnych motywatorów odbiorcy.

To ważne dla firm, bo pracownicy zostawiają wiele danych w publicznym internecie: stanowiska, projekty, konferencje, zdjęcia, relacje z wydarzeń, komentarze, sukcesy, technologie, partnerów biznesowych i sieć kontaktów. AI może pomóc napastnikowi szybciej zebrać te informacje, uporządkować je i przekształcić w wiarygodną przynętę.

Najważniejszy wniosek nie brzmi: pracownicy mają zniknąć z internetu. Wniosek jest bardziej praktyczny: organizacja musi uczyć ludzi, że spersonalizowana wiadomość nie jest automatycznie prawdziwa. Im bardziej mail trafia w aktualny projekt, ambicję, rolę lub relację, tym bardziej potrzebna jest niezależna weryfikacja.

AI przyspiesza pracę oszusta

Do przygotowania spersonalizowanego phishingu zawsze można było użyć publicznych danych. Różnica polega na szybkości i jakości. Dawniej napastnik musiał ręcznie przeglądać profile, strony firmowe, wpisy, zdjęcia, konferencje i relacje. Dziś może zebrać materiał i poprosić model językowy o streszczenie profilu, wskazanie motywatorów, przygotowanie tonu wiadomości i zaproponowanie przynęt.

G DATA pokazuje to na przykładzie samoeksperymentu. Publiczne informacje z profili społecznościowych i zawodowych mogą zostać użyte do odtworzenia cyfrowej tożsamości osoby. Następnie AI może pomóc w wyciągnięciu wniosków o stylu komunikacji, zainteresowaniach, środowisku pracy i potencjalnych wyzwalaczach emocjonalnych.

To nie oznacza, że każdy atak AI jest zaawansowany. Oznacza, że lepsza personalizacja staje się tańsza. Przestępca może przygotować więcej wiadomości wyglądających jak ręcznie dopasowany spear phishing, nawet jeśli nie ma dużego zespołu analityków.

OSINT jako paliwo do socjotechniki

OSINT, czyli open-source intelligence, oznacza informacje pochodzące z jawnych źródeł. W kontekście phishingu mogą to być profile LinkedIn, strony firmowe, biogramy prelegentów, ogłoszenia o pracy, wpisy o wdrożeniach, repozytoria, zdjęcia identyfikatorów, komentarze pracowników, artykuły eksperckie, nagrania z konferencji i komunikaty prasowe.

Każda informacja może pomóc w zbudowaniu wiarygodnego kontekstu. Osoba z HR może dostać zaproszenie na fałszywy panel rekrutacyjny. Finanse mogą otrzymać wiadomość o fakturze od partnera, który rzeczywiście jest w projekcie. IT może dostać rzekomą prośbę o test integracji. Zarząd może otrzymać zaproszenie do wystąpienia, inwestycji albo poufnej rozmowy branżowej.

W tym sensie phishing staje się mniej masowy, a bardziej kontekstowy. Wiadomość może nie zawierać błędów, dziwnego języka ani oczywistych sygnałów spamu. Jej siłą jest to, że pasuje do świata odbiorcy.

Polski scenariusz: LinkedIn, konferencje i projekty

W Polsce taki atak może wykorzystać informacje o konferencji branżowej, webinarze, zamówieniu publicznym, wdrożeniu Microsoft 365, rekrutacji, projekcie NIS2, audycie ISO 27001, współpracy z uczelnią, podpisanej umowie albo nowym kliencie. Wiele z tych informacji jest legalnie publikowanych na stronach firm, LinkedIn i w mediach branżowych.

Pracownik może otrzymać wiadomość od rzekomego organizatora konferencji, partnera technologicznego, headhuntera, dostawcy SaaS, dziennikarza, działu prawnego albo klienta. Jeśli treść odnosi się do prawdziwego wydarzenia, naturalna nieufność spada. Odbiorca zaczyna myśleć o zadaniu, nie o ryzyku.

W firmach działających B2B taki scenariusz jest szczególnie realistyczny. Sprzedaż, marketing, zarząd, eksperci, prelegenci i osoby aktywne na LinkedIn są widoczne publicznie. Nie trzeba włamać się do firmy, aby zbudować pierwszą wiarygodną wiadomość. Wystarczy uważnie przeczytać to, co organizacja sama publikuje.

Awareness musi uwzględniać personalizację

Klasyczne szkolenia często pokazują użytkownikom błędy językowe, dziwne adresy, fałszywe logotypy i oczywiste linki. To nadal ma sens, ale nie wystarczy. W phishingu AI wiadomość może być poprawna, logiczna i dopasowana do odbiorcy. Sygnałem ryzyka nie musi być zły język. Sygnałem może być nietypowa prośba, pośpiech, link, załącznik, kod, login, płatność lub próba przeniesienia rozmowy poza znany kanał.

W programie security awareness warto ćwiczyć scenariusze dopasowane do ról. Zarząd powinien zobaczyć inne przynęty niż księgowość. HR inne niż IT. Sprzedaż inne niż administracja. Tylko wtedy test pokazuje rzeczywiste zachowanie pod presją kontekstu, a nie reakcję na ogólny spam.

Ważne jest też uczenie cyfrowej higieny publikacji. Nie chodzi o milczenie w internecie, ale o świadomość, że zdjęcie identyfikatora, szczegóły projektu, lista technologii, informacja o urlopie zespołu albo post z konferencji mogą zostać użyte jako fragment wiarygodnej historii.

Co zrobić po spersonalizowanej wiadomości

Jeżeli wiadomość trafia idealnie w aktualny projekt, rolę lub zainteresowanie, nie trzeba jej od razu odrzucać. Trzeba jednak sprawdzić, czy prośba jest normalna dla tego procesu. Czy nadawca używa znanego kanału. Czy link prowadzi do oficjalnego miejsca. Czy załącznik był oczekiwany. Czy ktoś prosi o hasło, kod, dane, przelew, instalację aplikacji albo szybkie potwierdzenie poza procedurą.

Jeżeli pojawia się wątpliwość, lepiej przerwać proces i zweryfikować sprawę innym kanałem. W firmie powinien istnieć prosty sposób zgłaszania takich wiadomości. Użytkownik nie powinien bać się, że zgłosi coś, co później okaże się prawdziwe. Nadmiar zgłoszeń jest łatwiejszy do obsłużenia niż pojedynczy incydent ukryty ze strachu przed oceną.

Jeżeli użytkownik kliknął, podał dane lub uruchomił plik, trzeba ocenić skutki: konto, sesje, logi, endpoint, pocztę, dane i dalszą komunikację. Spersonalizowany phishing często jest początkiem większej operacji, a nie jednorazową próbą.

Jak mierzyć odporność na phishing AI

W testach phishingowych dla firm scenariusze AI i OSINT powinny być używane ostrożnie i etycznie. Nie chodzi o naruszanie prywatności pracowników ani wykorzystywanie wrażliwych informacji. Chodzi o realistyczne odtworzenie sytuacji, w której wiadomość pasuje do roli, działu lub procesu.

Metryki powinny obejmować kliknięcie, podanie danych, zgłoszenie, czas reakcji, przerwanie procesu i powtarzalność zachowań. Szczególnie ważne jest reporting rate, czyli odsetek zgłoszeń. W dobie personalizacji zgłoszenie jest jednym z najcenniejszych sygnałów, bo pracownik staje się sensorem wykrywającym nietypowy kontakt.

Po kampanii warto omówić nie tylko to, kto kliknął, ale dlaczego wiadomość była przekonująca. Czy wykorzystała prawdziwy projekt. Czy dotyczyła roli. Czy użyła autorytetu. Czy stworzyła presję. Taka analiza pomaga poprawić komunikację wewnętrzną, procedury i publikowanie informacji na zewnątrz.

Wniosek

AI nie musi tworzyć idealnego cyberataku, aby zwiększyć skuteczność phishingu. Wystarczy, że szybciej połączy publiczne dane, dopasuje ton i podpowie przynętę, która będzie brzmiała jak naturalna część pracy odbiorcy.

Praktyczna zasada dla firm jest konkretna: im bardziej wiadomość jest dopasowana do odbiorcy, tym bardziej trzeba sprawdzić proces, a nie tylko język. Personalizacja nie jest dowodem autentyczności. Może być dowodem, że ktoś dobrze odrobił OSINT.