Kai algoritmas tampa sukčiumi
Dirbtinis intelektas Lietuvoje jau seniai nėra tik technologijų entuziastų pokalbių tema. Jis įsiskverbė į kasdienybę – padeda rašyti el. laiškus, generuoja nuotraukas, verčia tekstus. Bet lygiai taip pat greitai jis tapo įrankiu, kurį naudoja sukčiai. Ir čia prasideda tikrai nemaloni istorija.
Lietuvos kibernetinio saugumo centras (NKSC) per pastaruosius dvejus metus fiksuoja eksponentiškai augantį su DI susijusių sukčiavimo atvejų skaičių. Tai nėra abstrakti statistika – tai realūs žmonės, praradę santaupas, reputaciją ar tiesiog patyrę stiprų stresą dėl to, kad kažkas panaudojo technologiją prieš juos.
Šiame straipsnyje – ne tik apie tai, kaip veikia šios schemos, bet ir kaip jas atpažinti, ko vengti ir ką daryti, jei jau patekote į spąstus.
Deepfake’ai su žinomų lietuvių veidais
Viena labiausiai paplitusių schemų Lietuvoje – vaizdo įrašai, kuriuose žinomi žmonės „rekomenduoja” investicines platformas. Prezidentas, premjeras, populiarūs televizijos vedėjai – jų veidai ir balsai buvo panaudoti sukčiavimo tikslais. Technologija, kuri anksčiau reikalavo filmų studijos biudžeto, dabar prieinama kiekvienam, turinčiam kelias dešimtis dolerių ir interneto ryšį.
Kaip tai veikia techniškai? Deepfake generavimo modeliai, tokie kaip DeepFaceLab ar komerciniai sprendimai, analizuoja dešimtis tūkstančių tikro žmogaus veido kadrų iš viešai prieinamų šaltinių – YouTube interviu, televizijos laidų, socialinių tinklų. Tada algoritmas išmoksta atkurti veido judesius, mimikos niuansus, net odos tekstūrą. Rezultatas – vaizdo įrašas, kurį žmogaus akis sunkiai atpažįsta kaip suklastotą.
Balsas generuojamas atskirai – naudojant voice cloning technologijas. Pakanka kelių minučių tikro žmogaus kalbos, kad sistema sukurtų sintetinį balsą, kuris skamba identiškai. Tada abu elementai sujungiami, ir gauname „žinomą asmenį”, kuris patikimai pasakoja apie investicijų platformą, žadančią 300% grąžą per mėnesį.
Praktinis patarimas: Jei matote vaizdo įrašą, kuriame žinomas žmogus rekomenduoja investicijas, atkreipkite dėmesį į šiuos požymius:
- Lūpų judesiai nesutampa su garsu (ypač pastebima ties tam tikrais priebalsiais)
- Akių mirksėjimas atrodo nenatūralus arba per retas
- Veido kraštai šalia plaukų ar ausų atrodo neryškūs, „tekantys”
- Apšvietimas ant veido nesutampa su aplinkos apšvietimu
- Vaizdo įrašas platinamas tik per mokamas reklamas, ne per oficialius kanalus
Automatizuoti sukčiavimo pokalbiai – kai chatbotas skambina jums
Kita schema, kuri Lietuvoje įgauna pagreitį – automatizuoti telefono skambučiai su DI generuojamu balsu. Tai ne tie seni robotiniai pranešimai, kur akivaizdžiai girdėjosi, kad kalba mašina. Šiuolaikiniai balso modeliai kalbasi natūraliai, daro pauzes, „supranta” jūsų atsakymus ir reaguoja į juos.
Schema dažniausiai veikia taip: gauname skambutį iš „banko saugumo skyriaus”. Balsas skamba profesionaliai, kalba lietuviškai be akcento. Jis informuoja, kad buvo aptikta įtartina operacija jūsų sąskaitoje. Prašo patvirtinti tapatybę – nurodyti kortelės duomenis arba prisijungimo informaciją. Visas pokalbis vyksta sklandžiai, sistema sugeba atsakyti į paprastus klausimus, sukuria tikrovišką dialogo iliuziją.
Technologiškai tai įmanoma dėl LLM (Large Language Model) integracijos su balso sinteze realiuoju laiku. Sistema analizuoja jūsų kalbą, atpažįsta raktažodžius, generuoja tinkamą atsakymą ir jį ištaria per kelias sekundes. Visas procesas automatizuotas – sukčiui nereikia net prie kompiuterio sėdėti.
Svarbu žinoti: joks Lietuvos bankas niekada neskambins ir neprašys patvirtinti PIN kodo, CVV kodo ar pilno slaptažodžio telefonu. Tai galioja be išimčių. Jei gausite tokį skambutį – padėkite ragelį ir paskambinkite bankui tiesiogiai, naudodami numerį iš oficialios svetainės arba kortelės gale.
Sukčiavimas per socialinius tinklus su klonuotais profiliais
Facebook, Instagram, LinkedIn – visos šios platformos tapo medžioklės lauku. DI leidžia sukurti įtikinamai atrodančius fiktyvius profilius per kelias minutes. Profilio nuotrauka sugeneruojama naudojant GAN (Generative Adversarial Network) tinklus – tai veidai žmonių, kurie realiai neegzistuoja, bet atrodo absoliučiai tikri. Svetainė thispersondoesnotexist.com puikiai iliustruoja šią technologiją.
Lietuvoje ypač paplitusi schema – klonuoti realių žmonių profiliai. Sukčiai nukopijuoja jūsų draugo ar giminaičio profilį (nuotraukas, informaciją, draugų sąrašą), sukuria naują paskyrą ir pradeda rašyti jūsų kontaktams. Žinutė dažniausiai prasideda nuo kažko panašaus į: „Labas, turiu problemų, ar galėtum padėti?” Toliau – prašymas paskolinti pinigų, persiųsti kodą iš SMS ar kita schema.
DI čia padeda dviem būdais: pirma, automatizuoja žinučių siuntimą dideliam kontaktų skaičiui vienu metu. Antra, generuoja personalizuotus tekstus, kurie skamba kaip konkretus žmogus – sistema gali išanalizuoti tikro profilio įrašus ir imituoti jo rašymo stilių.
Ką daryti:
- Jei draugas parašo neįprastą žinutę – paskambinkite jam tiesiogiai prieš reaguodami
- Patikrinkite, ar profilis yra originalus: žiūrėkite į sukūrimo datą, įrašų istoriją, bendrų draugų skaičių
- Nustatykite savo socialinių tinklų profilių privatumo nustatymus taip, kad nuotraukų albumai nebūtų viešai matomi
- LinkedIn atveju – ypač atsargiai su naujais kontaktais, siūlančiais „verslo galimybes”
Investicinės platformos ir DI „finansų patarėjai”
Ši schema turbūt labiausiai finansiškai nuostolinga. Veikimo principas: sukuriama profesionaliai atrodanti investicinė platforma su DI valdoma sąsaja. Vartotojas registruojasi, įneša nedidelę sumą – tarkim, 250 eurų. Sistema pradeda rodyti „pelną” – kiekvieną dieną sąskaitos likutis auga. Tai tik skaičiai ekrane, jokių realių investicijų nevyksta.
Tada atsiranda „asmeninis patarėjas” – dažnai irgi DI valdomas chatbotas arba žmogus, dirbantis pagal scenarijų. Jis skatina investuoti daugiau, žada dar geresnes grąžas, kuria skubos jausmą („ši galimybė baigiasi rytoj”). Kai žmogus investuoja didesnes sumas ir bando jas išsiimti – prasideda problemos. Reikalaujama mokėti „mokesčius”, „verifikacijos mokesčius”, „draudimo įmokas”. Žmonės sumoka – ir pinigai dingsta.
Lietuvos bankas yra paskelbęs perspėjimų apie dešimtis tokių platformų. Prieš investuodami į bet kokią platformą, patikrinkite:
- Ar platforma turi licenciją – tai galima patikrinti Lietuvos banko viešame registre arba Europos vertybinių popierių ir rinkų institucijos (ESMA) duomenų bazėje
- Ar įmonė turi realų registruotą adresą ir kontaktus, kuriuos galima patikrinti
- Ar grąžos pažadai yra realistiški – jei žadama daugiau nei 10-15% per metus, tai jau turėtų kelti klausimų
- Ar yra nepriklausomų atsiliepimų ne platformos svetainėje, o išoriniuose šaltiniuose
Sukčiavimas verslo aplinkoje – BEC atakos su DI pagalba
Verslo el. pašto kompromitavimo atakos (BEC – Business Email Compromise) nėra naujiena, bet DI jas pakėlė į visiškai kitą lygį. Klasikinė schema: sukčius apsimeta įmonės vadovu ar buhalteriu ir prašo atlikti skubų mokėjimą. Anksčiau tokius laiškus buvo galima atpažinti iš gramatinių klaidų, nenatūralaus stiliaus ar netinkamo tono.
Dabar DI gali išanalizuoti šimtus tikrų vadovo el. laiškų (jei jie nutekėjo arba yra viešai prieinami) ir sugeneruoti laišką, kuris skamba identiškai. Tas pats tonas, tos pačios frazės, net tie patys trumpiniai ar emocinio krūvio žodžiai, kuriuos konkretus žmogus naudoja.
Lietuvos įmonės, ypač mažesnės, dažnai neturi pakankamai procesų tokioms atakoms atremti. Buhalteris gauna laišką nuo „direktoriaus”, prašantį skubiai pervesti 15 000 eurų tiekėjui. Laiškas atrodo tikras, tonas pažįstamas. Jei nėra aiškios procedūros tokiems atvejams – pinigai iškeliauja.
Rekomendacijos verslui:
- Įdiekite taisyklę: visi mokėjimai virš tam tikros sumos reikalauja telefono patvirtinimo iš vadovo, nepriklausomai nuo el. laiško turinio
- Naudokite el. pašto autentifikavimo protokolus – SPF, DKIM, DMARC – tai sumažina galimybę suklastoti siuntėjo adresą
- Apmokykite darbuotojus atpažinti socialinės inžinerijos taktikas – skubos kūrimą, autoritetingo asmens imitavimą, neįprastus prašymus
- Apsvarstykite dviejų asmenų patvirtinimo sistemą dideliems mokėjimams
Kaip DI padeda sukčiams mastu, kurio anksčiau nebuvo
Svarbu suprasti ne tik atskiras schemas, bet ir tai, kodėl DI taip radikaliai pakeitė sukčiavimo kraštovaizdį. Anksčiau sukčiavimas reikalavo žmogiškų resursų – reikėjo žmonių, kurie skambintų, rašytų laiškus, palaikytų pokalbius. Tai ribojo mastą. Dabar vienas žmogus su tinkamais įrankiais gali vienu metu vykdyti tūkstančius atakų.
DI taip pat sumažino reikiamų techninių žinių kartelę. Darknet’e ir net viešuosiuose forumuose galima rasti paruoštus sukčiavimo įrankių rinkinius – „fraud-as-a-service” modelius, kur viskas jau sukonfigūruota. Perkate prenumeratą, gaunate prieigą prie automatizuotos sistemos ir pradedате. Techninių žinių nereikia.
Be to, DI leidžia personalizuoti atakas mastu. Sistema gali automatiškai surinkti informaciją apie taikinį iš socialinių tinklų, viešų duomenų bazių, ir sukurti personalizuotą žinutę, kuri skamba kaip parašyta konkrečiai jums. Tai vadinama spear phishing – tikslinis sukčiavimas, kuris yra žymiai efektyvesnis nei masiniai laiškai.
Kai jau patekote į spąstus – ką daryti
Niekas nenori apie tai galvoti iš anksto, bet tai svarbu žinoti. Jei supratote, kad tapote sukčiavimo auka, greitis yra kritiškas.
Jei pervedėte pinigus: Nedelsdami skambinkite į savo banką – kuo greičiau, tuo didesnė tikimybė sustabdyti pervedimą. Lietuvos bankai turi procedūras tokiems atvejams. Tada kreipkitės į policiją – pateikite pranešimą, net jei atrodo, kad tikimybė susigrąžinti pinigus maža. Statistika reikalinga, kad institucijos suprastų problemos mastą.
Jei atskleidėte prisijungimo duomenis: Nedelsdami keiskite slaptažodžius – pradėkite nuo el. pašto, nes jis dažnai yra raktas į kitus paskyrus. Įjunkite dviejų faktorių autentifikavimą visur, kur galima. Patikrinkite, ar jūsų duomenys nepateko į viešas duomenų bazių nutekėjimų kolekcijas – tai galite padaryti per haveibeenpwned.com.
Kur pranešti:
- Policija – el. paštu [email protected] arba artimiausiame komisariate
- NKSC (Nacionalinis kibernetinio saugumo centras) – [email protected]
- Lietuvos bankas, jei susijusi su finansų sektoriumi – per jų svetainę
- Platforma, kurioje vyko sukčiavimas – Facebook, Google ir kitos turi sukčiavimo pranešimų sistemas
Ir dar vienas dalykas – nekaltinkite savęs. Šios schemos yra sukurtos profesionalų, kurie investavo laiko ir pinigų į tai, kad jos veiktų. Patekti į gerai sukonstruotą spąstą nėra kvailumo požymis.
Technologijų lenktynės, kurių negalime pralaimėti
Čia ir slypi esminis paradoksas: ta pati technologija, kuri įgalina sukčius, taip pat yra naudojama gynybai. Bankai naudoja DI modelius, kurie realiuoju laiku analizuoja operacijas ir aptinka anomalijas. El. pašto filtrai naudoja mašinų mokymąsi, kad atpažintų phishing’ą. Deepfake aptikimo įrankiai tampa vis tikslesni.
Bet tai nėra kova, kurioje galima laimėti vieną kartą ir baigti. Tai nuolatinis procesas – gynybos ir atakos technologijos tobulėja lygiagrečiai. Ir šiame kontekste informuotumas yra vienas svarbiausių apsaugos sluoksnių, kurį turime.
Lietuva turi gerą kibernetinio saugumo infrastruktūrą – NKSC, aktyviai veikiančius bankų saugumo skyrius, augančią specialistų bendruomenę. Bet institucijų pastangos veikia tik tada, kai žmonės žino, ko ieškoti, ir nesijaučia per daug sugėdinti pranešti apie incidentus.
DI sukčiavimas nėra ateities problema – jis vyksta dabar, Lietuvoje, su lietuviškais veidais ir lietuviškais balsais. Kuo daugiau žmonių supranta, kaip tai veikia, tuo sunkiau šioms schemoms veikti. Ir tai – ne technologinis, o žmogiškas atsakas į technologinę grėsmę.
