ChatGPT ułatwia phishing? AI podaje fałszywe adresy stron znanych firm

Coraz więcej dowodów wskazuje, że sztuczna inteligencja, w tym popularne chatboty takie jak ChatGPT, jest wykorzystywana przez cyberprzestępców do tworzenia przekonujących wiadomości phishingowych. Co więcej, często nieświadomie podają użytkownikom błędne lub nieistniejące adresy stron znanych marek. Najnowszy raport Netcraft ujawnia, że chatboty AI regularnie mylą się przy wskazywaniu oficjalnych witryn, co stwarza nowe pole do nadużyć. Problem dotyczy także polskich użytkowników bankowości, e-commerce i usług publicznych.
Sebastian Górski
03.07.2025|Przeczytasz w 4 minuty
ChatGPT ułatwia phishing? AI podaje fałszywe adresy stron znanych firm

“Przestępcy mogą sprawdzić, jakie błędy popełnia AI, a następnie wykupić nieistniejące domeny i szybko postawić na nich fałszywe strony do wyłudzania danych” – ostrzega Rob Duncan, szef działu badań Netcraft.

AI zmienia phishing – nowe techniki, większa skuteczność

Sztuczna inteligencja zrewolucjonizowała phishing pod kilkoma względami:

  • Generowanie przekonujących wiadomości: AI, wykorzystując modele językowe, tworzy wiadomości pozbawione typowych błędów, które dotąd ułatwiały wykrywanie oszustw (np. błędy gramatyczne, literówki).
  • Personalizacja ataków: nowoczesne algorytmy analizują profile ofiar, ich relacje, a nawet styl komunikacji, by tworzyć wiadomości niemal nie do odróżnienia od autentycznych.
  • Automatyzacja i skalowalność: AI pozwala generować tysiące spersonalizowanych ataków w krótkim czasie, a także testować różne wersje wiadomości (A/B testing), by zwiększyć skuteczność.

Jak podaje CrowdStrike, phishingowe e-maile generowane przez AI mają aż 54% wskaźnik kliknięć, podczas gdy te pisane przez ludzi osiągają 12%.

Nowe pole do nadużyć: AI podaje fałszywe adresy

Raport Netcraft pokazuje, że chatboty AI, pytane o oficjalne strony logowania do największych firm, poprawnie wskazują adres tylko w 66% przypadków. W 29% przypadków podają nieistniejące lub zawieszone domeny, a w 5% – inne, choć legalne, strony. To stwarza idealną okazję dla cyberprzestępców, którzy mogą rejestrować te “wolne” domeny i wykorzystywać je do phishingu.

Przykładem jest atak na użytkowników blockchaina Solana, gdzie oszuści stworzyli fałszywy interfejs API, a następnie zadbali o obecność w sieci, by chatboty AI polecały właśnie ich adresy.

AI w walce z phishingiem – wyścig zbrojeń

Na szczęście AI jest wykorzystywana także po stronie obrony. Nowoczesne systemy antyphishingowe analizują nie tylko treść wiadomości, ale także kontekst, zachowania użytkowników i strukturę linków. Dzięki uczeniu maszynowemu potrafią wykrywać anomalie, rozpoznawać nieznane dotąd schematy ataków i reagować w czasie rzeczywistym.

Najskuteczniejsze rozwiązania łączą kilka warstw zabezpieczeń:

  • Zaawansowane filtry e-mail: analizują nadawcę, treść, załączniki i linki, by wykryć nawet nietypowe próby phishingu.
  • Analiza behawioralna: monitoruje typowe zachowania użytkowników i wykrywa odstępstwa, np. nietypowe godziny logowania czy nieznane domeny.
  • Autoryzacja e-mail (DMARC, DKIM, SPF): pomaga weryfikować, czy wiadomość pochodzi z zaufanego źródła.
  • Edukacja użytkowników: nowoczesne szkolenia wykorzystują AI do symulowania ataków i uczenia pracowników rozpoznawania zagrożeń.

Znaczenie dla polskich użytkowników i firm

Choć wiele przykładów pochodzi z rynku globalnego, polskie firmy i użytkownicy są równie narażeni. Phishing to najczęstsza przyczyna wycieków danych, a AI sprawia, że ataki są coraz trudniejsze do wykrycia. W 2024 roku aż 30% firm padło ofiarą phishingu głosowego z użyciem deepfake’ów.

Praktyczne wskazówki:

  • Zawsze sprawdzaj adres strony przed logowaniem – najlepiej wpisuj go ręcznie lub korzystaj z oficjalnych aplikacji.
  • Nie ufaj bezkrytycznie odpowiedziom AI – nawet jeśli chatbot wydaje się pewny siebie.
  • Firmy powinny monitorować, jakie adresy podają chatboty AI w odpowiedzi na pytania o ich usługi i zgłaszać błędne wyniki.
  • Rejestruj potencjalnie „pomyłkowe” domeny, by nie trafiły w ręce przestępców.
  • Wdrażaj nowoczesne systemy antyphishingowe oparte na AI i regularnie szkol pracowników.

Czytaj też: Ciemna strona AI: zapytanie do ChatGPT “kosztuje” środowisko 10 razy więcej niż wyszukiwanie w Google

Dla kogo to ważne? Przede wszystkim dla osób korzystających z bankowości online, e-zakupów i usług publicznych przez internet. AI zwiększa skuteczność cyberprzestępców, ale także daje nowe narzędzia do obrony. Warto być świadomym zagrożeń i nie polegać wyłącznie na rekomendacjach chatbotów – zwłaszcza w kwestiach bezpieczeństwa.

UdostępnijTwitter