W cyfrowym świecie, w którym żyjemy, cyberprzestępcy nieustannie szukają nowych sposobów na oszukanie swoich ofiar. Najnowszym przykładem ich przebiegłości jest zaawansowana kampania phishingowa wymierzona w użytkowników Gmaila, opisana 13 lutego 2025 roku przez Pietera Arntza na stronie Malwarebytes. Wykorzystując sztuczną inteligencję (AI), oszuści stworzyli zagrożenie, które może dotknąć nawet 1,8 miliarda osób korzystających z tej popularnej usługi pocztowej.
FBI ostrzega: AI w rękach przestępców
Już w maju 2024 roku FBI alarmowało o rosnącym zagrożeniu ze strony cyberprzestępców wykorzystujących AI w swoich oszustwach. Agent specjalny FBI, Robert Tripp, podkreślał wtedy: „Atakujący używają AI do tworzenia niezwykle przekonujących wiadomości głosowych, wideo i e-maili, które umożliwiają schematy oszustw zarówno wobec osób prywatnych, jak i firm. Te wyrafinowane taktyki mogą prowadzić do ogromnych strat finansowych, szkód reputacyjnych i naruszenia poufnych danych.” Ostrzeżenie to nabrało wagi, gdy ujawniono, że narzędzia AI, z których korzystają przestępcy, są tanie – według badań koszt zaawansowanych ataków e-mailowych zaczyna się już od 5 dolarów.
FBI zwracało też uwagę na konieczność ostrożności przy otrzymywaniu niezamówionych e-maili lub SMS-ów. Phishing wsparty AI okazuje się znacznie skuteczniejszy, a narzędzia napędzane sztuczną inteligencją pozwalają tworzyć wiadomości, które omijają filtry bezpieczeństwa. Gdy doda się do tego robocalls wykorzystujące technologię deepfake, mamy receptę na oszustwo, które może zwieść tłumy.
Jak działa kampania przeciwko Gmailowi?
W przypadku kampanii wymierzonej w użytkowników Gmaila wszystkie te elementy zgrały się w perfidnym planie. Atak często zaczyna się od telefonu – dzwoniący, podając się za przedstawiciela Google’a, twierdzi, że konto użytkownika zostało zhakowane. Celem jest przekonanie ofiary do podania kodu odzyskiwania Gmaila, rzekomo potrzebnego do przywrócenia dostępu. Głos po drugiej stronie, dzięki deepfake’om, brzmi wiarygodnie, co zwiększa szanse na sukces.
Jednocześnie użytkownicy otrzymują e-maile, które wyglądają na pochodzące z autentycznej domeny Google’a, wzmacniając zaufanie do słów dzwoniącego. Jeśli ofiara poda kod, przestępcy zyskują nie tylko dostęp do jej poczty, ale także do szeregu powiązanych usług – od kont bankowych po media społecznościowe. Może to prowadzić nawet do kradzieży tożsamości.
Co więcej, FBI ostrzega przed fałszywymi stronami internetowymi, do których prowadzą linki w takich wiadomościach. Strony te, choć wyglądają na legalne, są zaprojektowane do kradzieży danych logowania. W niektórych przypadkach oszuści idą o krok dalej, przechwytując tzw. ciasteczka sesyjne (session cookies). Te małe pliki pozwalają na logowanie bez wpisywania hasła przy każdej wizycie na stronie – wygodne, dopóki nie wpadną w niepowołane ręce. Z takim ciasteczkiem przestępca może zalogować się na konto ofiary, zmienić hasło i przejąć pełną kontrolę.
Nie nowość, ale skuteczność
Choć żaden z elementów tej kampanii nie jest zupełnie nowy, ich połączenie sprawia, że staje się ona wyjątkowo groźna. Jak zauważa Malwarebytes, to przykład tzw. ataków agentycznych AI – czyli takich, gdzie technologia działa niemal autonomicznie, dostosowując się do sytuacji i maksymalizując efektywność. Z 1,8 miliarda użytkowników Gmaila wystarczy, by niewielki odsetek uległ oszustwu, a straty mogą sięgać milionów.
Jak się chronić?
Eksperci, w tym FBI i Malwarebytes, podkreślają, że kluczem do obrony jest czujność i odpowiednie nawyki cyfrowe. Oto praktyczne wskazówki, jak uniknąć wpadnięcia w pułapkę:
-
- Nie klikaj w linki ani nie pobieraj plików z niespodziewanych e-maili czy wiadomości.
-
- Nie podawaj danych osobowych na stronach, co do których nie masz pewności, że są autentyczne.
-
- Używaj menedżera haseł, by automatycznie wypełniać dane logowania tylko na zaufanych witrynach.
-
- Monitoruj swoje konta pod kątem nietypowej aktywności lub wycieków danych.
-
- Weryfikuj alerty bezpieczeństwa bezpośrednio na stronie Google’a (np. w ustawieniach konta), zamiast korzystać z linków w e-mailach.
-
- Włącz uwierzytelnianie dwuskładnikowe (MFA) na wszystkich kontach – to dodatkowa bariera dla oszustów.
-
- Zabezpiecz swoje urządzenia aktualnym oprogramowaniem antywirusowym (np. Malwarebytes Premium Security) i korzystaj z filtrowania SMS-ów na telefonie.
-
- Nigdy nie udostępniaj kodów odzyskiwania – Google nigdy o nie nie poprosi telefonicznie czy mailowo.
Przyszłość pod znakiem zapytania
Ta kampania to zaledwie początek. Wraz z rozwojem AI ataki phishingowe mogą stać się jeszcze bardziej wyrafinowane – od wiadomości idealnie dopasowanych do naszych nawyków po deepfake’i imitujące głosy bliskich nam osób. To wyzwanie nie tylko dla użytkowników, ale i dla firm technologicznych, które muszą znaleźć sposób na powstrzymanie przestępców korzystających z tych samych narzędzi, co reszta świata.
Na razie jedno jest pewne: w erze cyfrowej ostrożność to nasz największy atut. Gmail, mimo swojej popularności, nie jest wyjątkiem – tam, gdzie są ludzie, tam pojawią się oszuści. Trzymajmy więc rękę na pulsie i nie dajmy się złapać w sieć inteligentnych przynęt.
