CEBRF

Overview of selected scams - March 2024

We present the report on identified threats and the methods of operation by criminals for the month of March 2024. This document highlights selected risks to customers of Polish banks. We encourage you to review the material. The document does not cover threats that have been known for many months and were described in an earlier report, such as the "classicscam", fake Facebook login panels, fake shops and other. It is essential to remember, however, that these scenarios are still being used by criminals, and we must continually work against them.

False investment schemess

A well-known but still very popular criminal scenario is fake investments. It's a scam scheme in which cybercriminals impersonate well-known individuals or institutions. They aim to persuade people to invest their money. In reality, their goal is to expose the victim to high financial losses.

Criminals still eagerly utilize deepfake technology to create deceptive materials. They use the images of well-known individuals to generate video recordings promoting supposed investments (Fig. 1-2).

Figure 1 The use of deepfake technology to create deceptive content 1/2

Figure 2 The use of deepfake technology to create deceptive content 2/2

False offers (both in the form of video recordings and static ads) are distributed through:

• ads on the Facebook platform (Fig. 3),

Figure 3 Fake investment - ads on the Facebook platform

• ads on the X (formerly Twitter) platform (Fig. 4),

Figure 4 Fake investment - ads on the X platform

Upon clicking on each of the previously shown links, the victim is directed to a webpage where they enter their contact information (Fig. 5). It also happens that the form is directly on Facebook.

Figure 5 False investments - phishing site

The data obtained by cybercriminals in this way enables them to establish contact with the manipulated person, then stealing their money. Many people still fall for this scenario, so it is very important to take actions aimed at countering it.

IMPERSONATING POLISH BANKS

Criminals regularly impersonate banks to extract information about payment cards and authentication data for online banking. They also encourage downloading malicious applications. In March 2024, criminals also utilized this method of operation.

Criminals publish ads on the Facebook platform, impersonating Polish banks. Under the pretext of claiming a reward or the necessity of updating an application, they attempt to phish authentication data for online banking and payment card details.

Appearance of the ads published on the Facebook platform (Fig. 6):

Figure 6 Ads impersonating polish banks

Appearance of the ads and  phishing sites (Fig. 15-17):           

Figure 7 Fake ads and phishing sites - impersonating polish bank

Fake SMS messages and phishing sites are used for cybercrime:

• impersonating Millennium Bank (Fig. 8):

Figure 8 Fake SMS and phishing sites - impersonating Millennium Bank

• impersonating ING Bank (Fig. 9):

Figure 9 Fake SMS and phishing site - impersonating ING Bank

• impersonating BNP Paribas (Fig. 10):

Figure 10 Fake SMS and phishing site - impersonating BNP Paribas

Appearance of a phishing sites impersonating polish banks (Fig. 11-13).

Figure 11 Phishing sites - impersonating Pekao

Figure 12 Phishing sites - impersonating ING

Figure 13 Phishing sites - impersonating PKO

 "TAX REFUND CONFIRMATION", GOVERNMENT WEBSITE IMPERSONATION

Criminals, impersonating government site, they informed about a supposedly approved tax refund application and the possibility of receiving money after data verification. They encouraged clicking on a link that, in reality, led to a phishing site. In this way, the fraudsters aimed to obtain information about payment card details.

Fake email message (Fig. 14):

Figure 14 Fake email, source: https://twitter.com/CERT_Polska/status/1769654859664416871

Phishing site (Fig. 15):

Figure 15 Phishing site - impersonating goverment website

 WROCŁAW CITY CARD

Criminals set up phishing websites impersonating city of Wrocław. They informed about a supposed opportunity to purchase a personalized city card. To take advantage of the promotion, they encouraged clicking on a link. This link led to a fake website, where fraudsters tried to obtain information about the payment card (full card number, CVV code, and expiration date).

Ads of the Facebook platform (Fig. 16):

Figure 16 Fake ads od the Facebook platform

Phishing sites used in the described campaign (Fig. 17):

Figure 17 Phishing sites - impersonating city of Wrocław

"OVERDUE HIGHWAY TOLLS” – IMPERSONATING E-TOLL

Criminals prepared a phishing campaign and informed about a supposed necessity to pay overdue bills for highway tolls. To avoid alleged further consequences, they encouraged clicking on a link. This link led to a fake site where fraudsters tried to obtain information about the payment card.

SMS message containing a phishing site (Fig. 18):

Figure 18 Fake SMS - impersonating e-Toll

Phishing sitea (Fig. 19):

Figure 19 Phishing sites - impersonating e-Toll

IMPERSONATING COURIER COMPANIES

Criminals once again prepared a phishing campaign impersonating courier companies. This time, they used the image of InPost and DHL. Phishing sites were distributed through SMS messages. On the fake site, personal data and information about payment cards were solicited.

Fake SMS messages and phishing sites (Fig. 20-21):

Figure 20 Fake SMS and phishing sites - impersonating InPost

Figure 21 Fake SMS and phishing sites - impersonating DHL

 NO ACESS TO INTERNET TELEVISON

Criminals prepared a phishing campaign impersonating Netflix and HBO. By informing that the subscription had supposedly expired, they encouraged clicking on a link. On the fake site, personal data and information about payment cards were solicited.

Example SMS message impersonating Netflix (Fig. 22):

Figure 22 Fake SMS message and phishing site - impersonating Netflix

Example email message impersonating HBO (Fig. 23):

Figure 23 Fake email message and phishing site - impersonating HBO

"FRIENDLY REMINDER" - IMPERSONATING SPOTIFY

Criminals prepared a phishing campaign impersonating Spotify. Informing that an invoice needs to be paid, they encouraged clicking on a link contained in the email. On the fake site, personal data and information about payment cards were solicited.

Example email message and phishing site impersonating Spotify (Fig. 24):

Figure 24 Fake emial and phishing site - impersonating Spotify

Yet another month of this year has demonstrated that criminals are constantly refining their methods of operation. We consistently believe that conducting informational and educational activities is crucial.

That's why news about cyber threats and fraudulent trends are also published on the following our social media platform: Twitter, LinkedIn and Facebook.

Przegląd wybranych oszustw internetowych - MARZEC 2024

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w marcu 2024 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

• oferty fałszywych inwestycji,
• podszycia pod banki,
• „potwierdzenie zwrotu podatku”, czyli podszycie pod strony rządowe,
• wrocławska karta miejska,
• „zaległe rachunki za autostradę”, czyli podszycie pod e-TOLL,
• podszycie pod firmy kurierskie,
• brak dostępu do telewizji internetowej,
• „przyjazne przypomnienie”, czyli podszycie pod Spotify.

 REKLAMY FAŁSZYWYCH INWESTYCJI

Znanym od miesięcy, lecz nadal bardzo popularnym scenariuszem przestępczy są fałszywe inwestycje. To schemat oszustwa, w którym cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalnej ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu. W rzeczywistości mają na celu narażanie ofiary na wysokie starty finansowe.

Przestępcy nadal chętnie wykorzystują technologię deepfake do tworzenia materiałów oszukańczych. Wykorzystują wizerunki znanych osób, generując nagrania video na których przedstawiona jest treść zachęcająca do rzekomych inwestycji (rys. 3-4).

rys. 3 Wykorzystanie technologii deepfake do tworzenia treści oszukańczych 1/2

rys. 4 Wykorzystanie technologii deepfake do tworzenia treści oszukańczych 2/2

Fałszywe oferty (zarówno w postaci nagrań video, jak i statycznych reklam) dystrybuowane są m.in poprzez:

• reklamy na platformie Facebook (rys. 5),

rys. 5 Fałszywe inwestycje - reklamy na platformie Facebook

• reklamy na platformie X (dawniej Twitter) (rys. 6),

rys. 6 Fałszywe inwestycje - reklamy na platformie X

Po kliknięciu w każdy z wcześniej pokazanych linków ofiara trafia na stronę, na której wymagane jest dokonanie rzekomej rejestracji. Zdarza się również, że formularz do wprowadzenia danych znajduje się bezpośrednio na Facebooku (rys. 7).

rys. 7 Fałszywe inwestycje - formularz na fałszywej stronie

Dane pozyskane przez cyberprzestępców w ten sposób umożliwiają im nawiązanie kontaktu z potencjalną, już zmanipulowaną osobą, a w kolejnym kroku kradzież jej środków. Na ten scenariusz nadal daje się nabrać wiele ludzi, dlatego bardzo istotnym jest podejmowanie działań mających na celu przeciwdziałanie temu scenariuszowi.

 PODSZYCIA POD BANKI

Przestępcy regularnie podszywają się pod Banki, aby wyłudzać informacje o kartach płatniczych oraz dane uwierzytelniające do bankowości elektronicznej, jak i zachęcają do pobierania złośliwych aplikacji. W marcu 2024 roku przestępcy nadal wykorzystywali ten sposób działania.

Przestępcy podszywając się pod polskie banki publikowali reklamy na platformie Facebook oraz wysyłali wiadomości SMS. Pod pretekstem rzekomej możliwości odebrania nagrody lub straszeniem blokady dostępu do bankowości wyłudzali dane uwierzytelniające do bankowości elektronicznej oraz dane kart płatniczych.

Reklamy na platformie Facebook:

Wygląd reklamy opublikowanej na platformie Facebook (rys.8):

rys. 8 Reklama podszywająca się pod polskie banki

Przykładowy wygląd reklamy na platformie Facebook i stron phishingowych wykorzystywanych przez oszustów (rys. 9):

rys. 9 Reklama i strony phishingowe - podszycie pod Pekao

Wiadomości SMS i strony phishingowe wykorzystywane przez oszustów:

• podszycie pod Bank Millennium (rys. 10):

rys. 10 SMS i strony phishingowe - podszycie pod Millennium

• podszycie pod ING Bank Śląski (rys. 11-12):

rys. 11 SMS i strony phishingowe - podszycie pod ING

rys. 12 SMS i strony phishingowe - podszycie pod BNP Paribas

Wygląd strony phishingowej podszywającej się pod bank (rys. 13-15):

rys. 13 Strona phishingowa - podszycie pod Pekao

rys. 14 Strona phishingowa - podszycie pod ING

rys. 15 Strona phishingowa - podszycie pod PKO BP

 POTWIERDZENIE ZWROTU PODATKU "CZYLI ODSZYCIE POD STRONY RZĄDOWE

Przestępcy podszywając się pod strony rządowe informowali o rzekomo zatwierdzonym wniosku o zwrot podatku i możliwości odbioru pieniędzy, po przejściu weryfikacji danych. Tym sposobem zachęcali do kliknięcia w link, który w rzeczywistości prowadził do strony phishingowej. W ten sposób oszuści chcieli pozyskać informację o danych kart płatniczych.

Wiadomości e-mail wykorzystywane w opisanej kampanii (rys. 16):

rys. 16 Wiadomość e-mail

źródło: https://twitter.com/CERT_Polska/status/1769654859664416871

Strony phishingowe wykorzystywane w opisanej kampanii (rys. 17):

rys. 17 Strona phishingowa - podszycie pod stronę rządową

WROCŁAWSKA KARTA MIEJSKA

Przestępcy przygotowali kampanię phishingową i informowali o rzekomej możliwości wykupieni spersonalizowanej karty miejskiej. Aby móc skorzystać z promocji, zachęcali do kliknięcia w link. Prowadził on do fałszywej strony, na której oszuści starali się pozyskać informacje o karcie płatniczej.

Reklama na platformie Facebook (rys. 18):

rys. 19 Strony phishingowe - podszycie pod miasto Wrocław

 "ZALEGŁE RACHUNKI ZA AUTOSTRADĘ", CZYLI PODSZYCIE POD E-TOLL

Przestępcy przygotowali kampanię phishingową i informowali o rzekomej konieczności opłacenia zaległych rachunków za przejazdy przez autostradę. Aby nie narażać się na rzekome dalsze konsekwencje, zachęcali do kliknięcia w link. Prowadził on do fałszywej strony, na której oszuści starali się pozyskać informacje o karcie płatniczej.

Przykładowa wiadomość SMS (rys. 20):

rys. 20 Wiadomość SMS - podszycie pod e-Toll

Strony phishingowe wykorzystywana w opisanej kampanii (rys. 21):

rys. 21 Strony phishingowe - podszycie pod e-Toll

PODSZYCIE POD FIRMY KURIERSKIE

Przestępcy ponownie przygotowali kampanię phishingowe podszywające się pod firmy kurierskie. Tym razem wykorzystywali wizerunek firmy InPost oraz DHL. Strony phishingowe dystrybuowane były poprzez wiadomości SMS. Na fałszywej stronie wyłudzane były dane osobowe oraz informacje o kartach płatniczych.

Przykładowe wiadomość SMS i strony phishingowe (rys. 22-23):

rys. 22 SMS i strony phishingowe - podszycie pod InPost

rys. 23 SMS i strony phishingowe - podszycie pod DHL

BRAK DOSTĘPU DO TELEWIZJI INTERNETOWEJ

Przestępcy przygotowali kampanię phishingowe podszywające się pod Netflix oraz HBP. Informując o tym, że rzekomo wygasła subskrypcja, zachęcali do kliknięcia w link. Na fałszywej stronie wyłudzane były dane osobowe oraz informacje o kartach płatniczych.

Przykładowe wiadomość SMS i e-mail podszywające się pod Netflix (rys. 24):

rys. 24 Dystrybucja linków do stron phishingowych - podszycie pod Netflix

Przykładowa wiadomość e-mail i strony phishingowe podszywające się pod HBO (rys. 25):

rys. 25 E-mail i strony phishingowe - podszycie pod HBO

"PRZYJAZNE PRZYPOMNIENIE", CZYLI PODSZYCIE POD SPOTIFY
Przestępcy przygotowali kampanię phishingowe podszywające się pod Spotify. Informując, że należy opłacić fakturę, zachęcali do kliknięcia w link, zawarty w wiadomości e-mail. Na fałszywej stronie wyłudzane były dane osobowe oraz informacje o kartach płatniczych.

Przykładowe wiadomość e-mail oraz strona phishingowa podszywająca się pod Spotify (rys. 26):

rys. 26 E-mail i strony phishingowe - podszycie pod Spotify

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach Twitter, LinkedIn oraz Facebook.

Przegląd wybranych oszustw internetowych - STYCZEŃ 2024

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w styczniu 2024 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

• oferty fałszywych inwestycji,
• podszycia pod banki,
• fałszywe wiadomości SMS,
• fałszywe wiadomości e-mail,
• atrakcyjne okazje cenowe.

 Oferty fałszywych inwestycji

W styczniu 2024 roku niezmiennie identyfikowaliśmy scenariusz znany pod nazwą „fraud inwestycyjny” (wykres 2). Schemat oszustwa, w którym cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalnej ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu. W rzeczywistości prowadzą grę psychologiczną, mającą na celu narażanie ofiary na wysokie starty finansowe.

Z coraz większą intensywnością przestępcy wykorzystują technologię deepfake do tworzenia materiałów oszukańczych. Wykorzystują wizerunki znanych osób (w tym także influencerów), generując nagrania video na których przedstawiona jest treść zachęcająca do rzekomych inwestycji (rys. 1).

rys. 1 Wykorzystanie technologii deepfake do tworzenia treści oszukańczych

Fałszywe oferty (zarówno w postaci nagrań video, jak i statycznych reklam) dystrybuowane są poprzez:

• reklamy na platformie Facebook (rys. 2),

rys. 2 Fałszywe inwestycje - reklamy na platformie Facebook

• reklamy w wyszukiwarce Google (rys. 3-4),

rys. 3 Fałszywe inwestycje - reklamy w wyszukiwarce Google 1/2

rys. 4 Fałszywe inwestycje - reklamy w wyszukiwarce Google 2/2

• reklamy w wyszukiwarce MSN (rys. 5),
  
  
  
  
  

rys. 5 Fałszywe inwestycje - reklamy w wyszukiwarce MSN

• reklamy GoogleAds (rys. 6).
  
  

rys. 6 Fałszywe inwestycje - reklamy GoogleAds

Po kliknięciu w link ofiara trafia na stronę, na której wymagane jest dokonanie rzekomej rejestracji. Zdarza się również, że formularz do wprowadzenia danych znajduje się bezpośrednio na Facebooku (rys. 7).

rys. 7 Fałszywe inwestycje - formularz na platformie Facebook

Dane pozyskane przez cyberprzestępców w ten sposób umożliwiają im nawiązanie kontaktu z potencjalną, już zmanipulowaną osobą, a w kolejnym kroku kradzież jej środków. Ponownie przestępcy wykorzystali również kolejny element opisywanego scenariusza i w sytuacji, kiedy ofiara twierdziła, że chce wypłacić rzekomo zarobione środki, atakujący informują o konieczności przejścia „weryfikacji AML”. Uzasadniają to potrzebą wypełnienia formalności sprawiających, że przychód nie będzie traktowany jako „pranie pieniędzy”. W tym celu wysyłają link, pod którym kryje się strona phishingowa podszywająca się pod wizerunek Komisji Nadzoru Finansowego (rys. 8-9). W rzeczywistości wykradane są dane uwierzytelniające do bankowości elektronicznej ofiary.

rys. 8 Fałszywe inwestycje - "weryfikacja AML", podszycie pod KNF 1/2

rys. 9 Fałszywe inwestycje - "weryfikacja AML", podszycie pod KNF 2/2

Coraz częściej przestępcy wykorzystują również wariant oszustwa, w którym rzekomo oferowana jest pomoc w odzyskaniu środków osobom, które padły już wcześniej ofiarami fraudu inwestycyjnego. Wszystko po to, ażeby prowadzić grę psychologiczną i nakłaniać do przekazania im kolejnych oszczędności. Niestety jest to nadal rodzaj przestępstwa, w którym osoby poszkodowane tracą wysokie kwoty (rys.10).

rys. 10 Fałszywe inwestycje - kolejny etap oszustwa

Podszycia pod banki

Przestępcy regularnie podszywają się pod Banki, aby wyłudzać informacje o kartach płatniczych oraz dane uwierzytelniające do bankowości elektronicznej. W styczniu 2024 roku przestępcy również wykorzystywali ten sposób działania.

Podszycie pod Bank Pocztowy

Przestępcy podszywając się pod Bank Pocztowy starali się wyłudzi dane uwierzytelniające do bankowości elektronicznej.

Wygląd stron phishingowych, które oszuści wykorzystywali w opisywanej kampanii (rys. 11-12):

rys. 11 Strona phishingowa - podszycie pod Bank Pocztowy 1/2

rys. 12 Strona phishingowa - podszycie pod Bank Pocztowy 2/2

Podszycie pod Bank Millennium

Przestępcy podszywając się pod Bank Millennium starali się wyłudzi informacje o kartach płatniczych.

Wygląd stron phishingowych, które oszuści wykorzystywali w opisywanej kampanii (rys. 13-14):

rys. 13 Strona phishingowa - podszycie pod Bank Millennium 1/2

rys. 14 Strona phishingowa - podszycie pod Bank Millennium 2/2

Podszycie pod Santander Bank Polska

Przestępcy podszywając się pod Santander Bank Polska starali się wyłudzi informacje o kartach płatniczych.

Wygląd strony phishingowej, którą oszuści wykorzystywali w opisywanej kampanii (rys. 15):

rys. 15 Strona phishingowa - podszycie pod Santander Bank Polska

Podszycie pod Bank PKO BP

Przestępcy podszywając się pod Bank PKO BP starali się wyłudzić dane uwierzytelniające do bankowości elektronicznej oraz informacje o kartach płatniczych.

Wygląd stron phishingowych, które oszuści wykorzystywali w opisywanej kampanii (rys. 16-17):

rys. 16 Strona phishingowa - podszycie pod PKO BP 1/2

rys. 17 Strona phishingowa - podszycie pod PKO BP 2/2

Fałszywe wiadomości SMS

Znanym od lat sposobem dystrybucji domen phishingowych są wiadomości SMS. W styczniu 2024 roku atakujący nadal wykorzystywali tę drogę dystrybucji domen phishingowych, jednocześnie wykorzystując znane już w historii scenariusze działania. Przede wszystkim podszywali się pod firmy kurierskie, starając się wyłudzić informacje o kartach płatniczych. Wartym uwagi jest też fakt, że podobne schematy działania widoczne są w kampaniach zagranicznych, w których zainteresowaniem przestępców również cieszą się informacje o kartach.

Przestępcy podszywając się pod firmę InPost rozsyłali wiadomości SMS, w których informowali o rzekomych niekompletnych danych adresowych. Wiadomość zawierała link, po kliknięciu którego ofiara trafiała na stronę podszywającą się pod markę InPost. Tam atakujący starali się pozyskać dane karty płatniczej.

Wiadomość SMS zawierająca stronę phishingową (rys. 18 ):

rys. 18 Wiadomość SMS podszywająca się pod InPost

Wygląd strony phishingowej, którą oszuści wykorzystywali w opisywanej kampanii (rys. 19):

rys. 19 Strony phishingowe - podszycie pod InPost

Opłać etykietę, czyli podszycie pod DHL

Przestępcy podszywając się pod firmę DHL rozsyłali  wiadomości SMS,w których informowali o rzekomej konieczności dokonania opłaty za etykietę. Wiadomość zawierała link, po kliknięciu którego ofiara trafiała na stronę podszywającą się pod markę InPost. Tam atakujący starali się pozyskać dane karty płatniczej.

Wiadomość SMS zawierająca stronę phishingową (rys. 20):

rys. 20 Wiadomość SMS podszywająca się pod DHL

Przykłady strony phishingowej, którą oszuści wykorzystywali w opisywanej kampanii (rys. 21):

rys. 21 Strony phishingowe - podszycie pod DHL

Zaktualizuj dane, czyli podszycie pod UPS

Przestępcy podszywając się pod firmę UPS rozsyłali  wiadomości SMS, w których informowali o rzekomej konieczności aktualizacji danych. Wiadomość zawierała link, po kliknięciu którego ofiara trafiała na stronę podszywającą się pod markę UPS. Tam atakujący starali się pozyskać dane karty płatniczej.

Wiadomość SMS zawierająca stronę phishingową (rys. 22):

rys. 22 Wiadomość SMS podszywająca się pod UPS

Przykłady stron phishingowych, które oszuści wykorzystywali w opisywanej kampanii (rys. 23):

rys. 23 Strony phishingowe - podszycie pod UPS

Zatrzymanie usługi, czyli podszycie pod Binance

Przestępcy podszywając się pod Binance, informowali o rzekomej konieczności aktualizacji danych. W wiadomości znajdował się link, po kliknięciu w który ofiara trafiała na stronę phishingową, gdzie proszona była o wpisanie danych logowania do portalu.

Wiadomość SMS zawierająca stronę phishingową (rys. 24):

rys. 24 Wiadomość SMS podszywająca się pod Binance

Przykład strony phishingowej, którą oszuści wykorzystywali w opisywanej kampanii (rys. 25):

rys. 25 Strona phishingowa - podszycie pod Binance

Fałszywe wiadomości e-mail

Podobnie do wiadomości SMS, również drogą mail’ową jest równie często wykorzystywana przez przestępców do dystrybucji kampanii phishingowych. W styczniu 2024 roku atakujący nadal ja wykorzystywali.

Brak towaru i odbiór środków, czyli podszycie pod Allegro

Przestępcy podszywając się pod portal Allegro rozsyłali  wiadomości e-mail. Informowali o rzekomych braku zamówionych produktów oraz konieczności odebrania wcześniej wpłaconych środków. Wiadomość zawierała link (hiperłącze pod „Potwierdź Zwrot”) po kliknięciu, którego ofiara trafiała na stronę podszywającą się pod markę Allegro. Tam atakujący starali się pozyskać dane karty płatniczej.

Wiadomość e-mail zawierająca stronę phishingową (rys.26):

rys. 26 Wiadomość e-mail podszywająca się pod Allegro

Przykład strony phishingowej, którą oszuści wykorzystywali w opisywanej kampanii (rys. 27):

rys. 27 Strona phishingowa - podszycie pod Allegro

Uiszczenie opłaty, czyli podszycie pod GLS

Przestępcy podszywając się pod firmę kurierską GLS rozsyłali  wiadomości e-mail. Informowali o rzekomej konieczności  potwierdzenia dokonania opłaty za dostawę paczki. Wiadomość zawierała link (hiperłącze pod „Odbierz swój pakiet już teraz, klikając tutaj”) po kliknięciu, którego ofiara trafiała na stronę podszywającą się pod markę GLS. Tam atakujący starali się pozyskać dane karty płatniczej.

Wiadomość e-mail zawierająca stronę phishingową (rys.28):

rys. 28 Wiadomość e-mail podszywająca się pod GLS

Przykład strony phishingowej, którą oszuści wykorzystywali w opisywanej kampanii (rys. 29):

rys. 29 Strona phishingowa - podszycie pod GLS

Twoje członkostwo wygasa, czyli podszycie pod HBO MAX

Przestępcy podszywając się pod platformę streaming’ową HBO MAX rozsyłali  wiadomości e-mail. Informowali o rzekomych wygaśnięciu konta i możliwości darmowego przedłużenia ważności pakietu. Wiadomość zawierała link (hiperłącze pod „Przedluz za darmo”) po kliknięciu, którego ofiara trafiała na stronę podszywającą się pod markę HBO MAX. Tam atakujący starali się pozyskać dane karty płatniczej.

Wiadomość e-mail zawierająca stronę phishingową (rys.30):

rys. 30 Wiadomość e-mail podszywająca się pod HBO MAX

Przykład strony phishingowej, którą oszuści wykorzystywali w opisywanej kampanii (rys. 31):

rys. 31 Strona phishingowa - podszycie pod HBO MAX

Atrakcyjne okazje cenowe

Cyberprzestępcy publikowali reklamy, w których oferowali produkty w konkurencyjnych cenach. Na stronach phishingowych podszywali się pod sklep Zalando. Po wejściu na stronę, ofiara musiała wypełnić formularz osobowy, a następnie zachęcana była do wpisania danych karty płatniczej. W ten sposób dane te trafiały w ręce przestępców.

Reklama na platformie Facebook, zawierające stronę phishingową (rys. 32):

rys. 32 Reklama na portalu Facebook - podszycie pod sklep Zalando

Strona phishingowa wyłudzająca dane kart płatniczych (rys. 33):

rys. 33 Strona phishingowa – fałszywa sprzedaż

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach Twitter, LinkedIn oraz Facebook.

Jak sztuczna inteligencja przetwarza dane

Co to jest Sztuczna Inteligencja?

Czym jest AI, że jest różnica pomiędzy sztuczną inteligencją, a uczeniem maszynowym oraz na czym ona polega przedstawiliśmy w pierwszy artykule. Zachęcamy do zapoznania się z nim: https://cebrf.knf.gov.pl/komunikaty/artykuly-csirt-knf/362-ostrzezenia/887-wprowadzenie-do-sztucznej-inteligencji

Tymczasem, uzbrojeni już w podstawową wiedzę definicyjną pora na kolejny krok w świecie magii i sztuczek, czyli sztucznej inteligencji. Dość naturalnym wydaje się, że skoro chcemy być świadomymi zagrożeń użytkownikami modeli AI, to warto odpowiedzieć sobie na pytanie: okej, ale skąd tak naprawdę to AI wie, to co wie i jak przetwarza, to czym ją zasilam – i właśnie tego pytania, dotyczy poniższy tekst, zapnijcie pasy – ruszamy!

Skąd AI czerpie wiedzę?

Sztuczna inteligencja odgrywa coraz ważniejszą rolę w naszym świecie. Często już przekształcając sposób, w jaki np. szukamy informacji, czy uczymy się. W centrum tej transformacji leżą dane – można nazwać je paliwem napędzającym AI. Skoro AI rozumiana jest jako twór, który ma mieć zdolność do wykonywania zadań, założenia wymagających cech ludzkiego intelektu, to może nam się wydawać, że modele te powinny uczyć się na podstawie tych samych danych co człowiek – i to jest prawidłowe rozumowanie. Typowym rodzajami danych szkoleniowych dla sztucznej inteligencji, które podają liczne źródła, są:

• dane tekstowe - wykorzystywane głównie w przetwarzaniu języka naturalnego (NLP), czyli tego którego używamy, źródłem nauki są tu dokumenty, książki, strony internetowe, a nawet tweety i wpisy w innych mediach społecznościowych, recenzje produktów, czy transkrypcje rozmów, używane do zadań takich jak analiza sentymentu, klasyfikacja i generowanie tekstu;
• dane obrazowe - stosowane w widzeniu komputerowym i przetwarzaniu obrazów, AI do nauki wykorzystuje ogromne liczby oznaczonych obrazów, źródłami są tu wszelkie skany, zdjęcia cyfrowe, zdjęcia satelitarne, umiejętność wykorzystywana do rozpoznawanie obiektów i ich generowania;
• dane dźwiękowe (audio) - wykorzystywane w rozpoznawaniu mowy i analizie dźwięku, źródłami są tu nagrania głosowe, wzorce akustyczne, muzyka, dźwięki otoczenia, używane do zadań takich jak np. transkrypcja mowy, rozpoznawanie muzyki, czy wykrywanie dźwięków;
• dane wideo – wykorzystywane do rozpoznawania ruchomego obrazu, wyodrębniania elementów, dostosowywania audio, źródłami nauki są tu wszelkie nagrania wideo, wykorzystywane do analizy wideo, nadzoru, generowania wideo i uczenia się wzorców czasowych;
• dane finansowe – pobierane z istniejących danych finansowych z rynków i rejestrów transakcji, wykorzystywane np. do przewidywania cen akcji, oceny zdolności kredytowej, czy wykrywania oszustw;
• dane czasowo-szeregowe – to informacje ułożone chronologicznie czasowo, źródłami są tutaj m.in. dane giełdowe, rejestry aktywności fizycznej, etc.;
• dane strukturalne – to te dane, które zostały zebrane w formie tabelarycznej, jak np. bazy danych klientów, dane transakcyjne, dane demograficzne, używane m.in. w klasyfikacji klientów, analizie ryzyka kredytowego, segmentacji rynku;
• dane sensoryczne/telemetria - informacje zbierane z czujników i urządzeń telemetrycznych, np. z czujników IoT, dane z samochodów autonomicznych, dane meteorologiczne, używane w monitorowaniu stanu maszyn, systemach nawigacyjnych, prognozowaniu pogody.

Czy to skończony zbiór rodzajów i źródeł danych? Zdecydowanie nie, to tylko lista tych najczęstszych, bo tak jak małe dziecko uczy się z otaczającego go świata, tak AI uczy się z tego, co ma dostępne.

To Ty i ja jesteśmy nauczycielami AI!

Z tymi, z którym najprawdopodobniej większość z nas ma najczęściej do czynienia to modele językowe. Duże modele językowe (LLM - Large Language Model) charakteryzują się zdolnością do rozumienia i przetwarzania języka naturalnego. Takimi LLM są między innymi ChatGPT oraz Bard. W dużym uproszczeniu, proces tego uczenia można podzielić na 4 części:

1. trening modelu językowego- model językowy jest najpierw trenowany na ogromnym zbiorze danych tekstowych, o którym pisaliśmy wyżej, podczas tego procesu model uczy się rozumieć strukturę języka, jego semantykę, składnię oraz kontekst;
2. interakcje i zapytania- gdy model językowy jest już wstępnie wytrenowany, może być dodatkowo doskonalony poprzez interakcje z użytkownikami, zapytania użytkowników dostarczają modelowi przykładów użycia języka w konkretnych kontekstach, co może pomóc modelowi w lepszym rozumieniu niuansów językowych i specyficznych przypadków użycia – i w zasadzie, to jest to miejsce, w którym my (jako użytkownicy modeli językowych AI) stajemy się nauczycielami lub inaczej źródłem wiedzy, należy jednak uświadomić sobie, że celem tej nauki, model przetworzy, sprawdzi i zapamięta wszystko, co mu powiemy, napiszemy lub wrzucimy przy pomocy obrazu, pliku czy nagrania;
3. analiza odpowiedzi i uczenie się z feedbacku - w niektórych systemach, szczególnie tych, które są ciągle rozwijane i ulepszane, odpowiedzi modelu językowego mogą być analizowane, a feedback od użytkowników może być używany do dalszego doskonalenia modelu, np. jeśli model generuje błędne lub nieadekwatne odpowiedzi, dane te mogą być wykorzystane do jego poprawy (krytyka nie musi być konstruktywna, on nie ma uczuć J);
4. uczenie ciągłe i aktualizacje- w bardziej zaawansowanych systemach AI, takich jak wielojęzyczne modele językowe, istnieje możliwość ciągłego uczenia się i aktualizacji na podstawie nowych danych i interakcji, co pozwala modelom lepiej dostosowywać się do zmieniających się wzorców języka i potrzeb użytkowników.

Serce AI, to uczenie maszynowe (ML)

Czym jest ML, pisaliśmy w pierwszy artykule, warto jednak zaznaczyć sobie w tym miejscu, że ML jest sercem AI. Wyróżnia się tutaj uczenie:

• nadzorowane,
• nienadzorowane,
• ze wzmocnieniem.

W uczeniu nadzorowanym, AI trenuje na danych zawierających zarówno pytania, jak i odpowiedzi, ucząc się rozpoznawać wzorce. Uczenie nienadzorowane pozwala AI na samodzielne odkrywanie struktur w danych, bez wcześniej oznakowanych odpowiedzi. Uczenie ze wzmocnieniem, polega na metodzie prób i błędów, gdzie AI uczy się poprzez nagrody i kary. Model AI otrzymuje nagrody (pozytywne wzmocnienia) lub kary (negatywne wzmocnienia) na podstawie jego działań. Na przykład, w grze komputerowej algorytm może otrzymać punkty (nagrody) za wykonanie pożądanych działań, takich jak zdobycie celu, lub stracić punkty (kary) za niepożądane działania, jak na przykład wpadnięcie w pułapkę.

Celem AI w uczeniu ze wzmocnieniem jest maksymalizacja sumy nagród. Algorytm musi opracować strategię (politykę), która określa, jakie działania należy podjąć w danych okolicznościach, aby maksymalizować oczekiwaną sumę przyszłych nagród.

Wyzwania i zagrożenia

Jednak wykorzystanie danych przez AI nie jest pozbawione wyzwań. Problemem jest bias, czyli uprzedzenia w danych, które mogą prowadzić do błędnych wniosków generowanych w odpowiedzi użytkownikowi, dlatego niezbędna jest rozwaga w zawierzaniu odpowiedziom.

Kolejnym ważnym zagrożeniem, bardzo istotnym dla organizacji, związane jest z prywatnością i bezpieczeństwem danych. Wyzwanie to staje się również coraz bardziej palące na arenie międzynarodowej. W obliczu rosnącego wykorzystania danych osobowych, kwestie etyczne i prawne stają się kluczowe dla odpowiedzialnego wykorzystania AI. Aspekty te poruszymy w osobnych artykułach tego cyklu, musimy jednak już dziś zdawać sobie sprawę, że mogą one nas dotyczyć. Każde zapytanie do modelu AI, wrzucony plik, nagranie czy zdjęcie nie znika (nawet jeżeli usuniemy je z widoku aplikacji), ono zostaje, i nie tylko odkłada się, ale często jest też wykorzystywane przez sztuczną inteligencję do uczenia się. Dlatego tak ważnym jest rozwaga w jaki sposób korzystamy z „nowości”.

Podsumowanie

Zrozumienie, jak AI przetwarza i uczy się z danych, jest kluczowe dla pełnego wykorzystania jej potencjału, ale i umiejętności uchronienia siebie i organizacji przed niepożądanymi, negatywnymi skutkami wykorzystywania tego typu narzędzi. Dlatego w obliczu szybko rozwijającej się technologii, ważne jest, aby równie dynamicznie rozwijała się nasza świadomość na temat wyzwań i odpowiedzialności związanych z AI. A tymczasem, dziękując za poświęcony czas na lekturę powyższego tekstu, zachęcamy do śledzenia kolejnych artykułów.