Czy AI generuje wiarygodne maile oszustów?

Tak. Dlatego krytyczne decyzje nie powinny opierać się wyłącznie na mailu, nawet jeśli wygląda wiarygodnie.

Deepfake i AI w oszustwach fakturowych

Q: Jak firma może się zabezpieczyć przed deepfake'ami?

Potrzebne są procedury: potwierdzanie dyspozycji osobnym kanałem, zasada czterech oczu, pytania kontrolne i szkolenia pracowników.

Technologie klonowania głosu i generowania tekstu pozwalają oszustom podszywać się pod prezesa, pracownika lub kontrahenta, aby wymusić pilny przelew albo zmianę rachunku do płatności. W artykule: jak działają takie ataki, dlaczego ich skala rośnie i jak bezpiecznie potwierdzać dyspozycje finansowe.

Co musisz wiedzieć

Deepfake głosowy i maile generowane przez AI mogą wyglądać lub brzmieć bardzo wiarygodnie. Oszust nie musi już przejmować skrzynki mailowej, aby wywołać presję i skłonić firmę do zapłaty. Obrona nie powinna opierać się na rozpoznawaniu głosu ani stylu wiadomości, tylko na procedurach: dyspozycje finansowe zawsze potwierdzane osobnym, znanym kanałem kontaktu, np. oddzwonieniem na wcześniej zweryfikowany numer lub kontaktem na dane z umowy.

Fałszywe rozmowy głosowe z "prezesem"

Technologia klonowania głosu pozwala oszustom przygotować lub wygenerować w czasie rzeczywistym wypowiedź, która przypomina głos prezesa albo innej osoby decyzyjnej. Do ataku często dochodzi pod presją czasu: "zrób pilny przelew", "nie mogę teraz rozmawiać", "to poufna sprawa". Sam podobny głos nie jest wiarygodnym potwierdzeniem tożsamości. Każda dyspozycja finansowa przekazana telefonicznie powinna być potwierdzona oddzwonieniem na znany, oficjalny numer zapisany wcześniej w firmie, a nie na numer widoczny w historii połączeń.

Generowane automatycznie maile

AI może generować wiadomości, które naśladują styl konkretnej osoby lub firmy. Oszust nie musi mieć dostępu do prawdziwej skrzynki mailowej: może wysłać wiadomość z adresu łudząco podobnego do prawdziwego albo z domeny, która na pierwszy rzut oka wygląda poprawnie. Treść bywa spójna, poprawna językowo i przekonująca, dlatego sama "jakość" maila nie jest już zabezpieczeniem. Zawsze sprawdzaj pełny adres nadawcy, domenę oraz to, czy prośba o przelew lub zmianę rachunku została potwierdzona innym kanałem.

Dlaczego AI zwiększa skalę ataków

AI obniża koszt i próg wejścia w oszustwa oparte na podszywaniu się pod ludzi. Przestępcy mogą szybciej przygotowywać spersonalizowane maile, skrypty rozmów i fałszywe nagrania, a następnie kierować je do wielu firm jednocześnie. W praktyce oznacza to więcej prób oszustwa, większą wiarygodność komunikacji i większą presję na działy finansowe oraz księgowe. Dlatego firmy powinny zakładać, że zarówno głos, jak i treść wiadomości mogą być sfałszowane.

Jak rozpoznać manipulację

Nie polegaj wyłącznie na tym, że głos "brzmi znajomo" albo że mail "wygląda jak od prezesa". Sygnałami ostrzegawczymi są presja czasu, żądanie poufności, prośba o obejście standardowej ścieżki akceptacji, nowy rachunek do płatności oraz nacisk, by nie weryfikować sprawy innym kanałem. Zamiast zgadywać, czy to deepfake, stosuj procedurę: (1) przy każdej dyspozycji finansowej lub zmianie rachunku kontaktuj się przez wcześniej znany numer lub adres, (2) nie korzystaj z danych kontaktowych podanych w podejrzanej wiadomości, (3) wprowadź ustalone pytanie kontrolne lub kod dla poleceń telefonicznych, (4) wymagaj zatwierdzenia przez drugą osobę przy większych kwotach lub zmianach danych płatniczych.

Procedura potwierdzania dyspozycji finansowych

Ustal w firmie prostą zasadę: żadna dyspozycja finansowa, zwłaszcza pilna albo dotycząca nowego rachunku, nie jest wykonywana wyłącznie na podstawie jednego telefonu, jednego maila ani jednego komunikatu. Telefon od "prezesa"? Rozłącz się i oddzwoń na zapisany wcześniej numer służbowy. Mail od "kontrahenta" o zmianie rachunku? Zweryfikuj zmianę na danych kontaktowych z umowy lub z wcześniej potwierdzonej kartoteki dostawcy. Przy większych kwotach stosuj zasadę czterech oczu i dokumentuj sposób potwierdzenia, aby zmniejszyć ryzyko błędu oraz ułatwić późniejszy audyt.

FAQ

Czy można ufać rozmowie głosowej z prezesem w sprawie przelewu?

Nie bez niezależnego potwierdzenia. Głos może być podrobiony lub połączenie może pochodzić od oszusta podszywającego się pod znaną osobę. Najbezpieczniej rozłączyć się i oddzwonić na wcześniej zweryfikowany, oficjalny numer.

Jak firma może się zabezpieczyć przed deepfake'ami?

Najważniejsze są procedury, a nie wiara w to, że pracownik "rozpozna głos". W praktyce oznacza to potwierdzanie dyspozycji finansowych osobnym kanałem, zakaz akceptowania zmiany rachunku tylko na podstawie maila, zasadę czterech oczu przy większych kwotach, pytania kontrolne przy poleceniach telefonicznych i regularne szkolenia pracowników.

Czy AI generuje już wiarygodne maile oszustów?

Tak. Wiadomości generowane przez AI mogą być poprawne językowo, spójne i dopasowane do kontekstu firmy. Dlatego przelew, zmiana rachunku lub inna krytyczna decyzja nie powinny opierać się wyłącznie na treści maila, nawet jeśli wygląda profesjonalnie.

Powiązane tematy

Przydatne serwisy

Status i komunikaty

API i narzędzia

Pierwsza grupa – status systemu KSeF i komunikaty techniczne Ministerstwa Finansów, druga – narzędzia do integracji z KSeF i walidacji faktur.