W Wielkiej Brytanii liczba zgłoszeń oszustw osiągnęła rekord, a coraz większą rolę odgrywają narzędzia AI. Problemem nie jest już pojedynczy „sprytny trik”, tylko przemysłowy model przejmowania kont i tożsamości.
Rekord, który mówi więcej niż statystyka
W brytyjskiej bazie zgłoszeń dotyczących nadużyć odnotowano w minionym roku 444 tys. przypadków oszustw – to najwyższy wynik w historii zestawienia i jednocześnie wzrost o 6% względem 2024 r. Sama liczba robi wrażenie, ale jeszcze ważniejsze jest to, co stoi za trendem: przestępcy coraz częściej wykorzystują sztuczną inteligencję do masowego „dopasowywania” ataków do ofiar i do automatyzacji całego procesu.
W praktyce oznacza to przesunięcie ciężaru z klasycznych, jednorazowych wyłudzeń na działania długofalowe: przejmowanie kont i budowanie wiarygodnych legend. Skala jest tu kluczowa – AI nie tyle wymyśla nowe rodzaje przestępstw, ile pozwala robić stare rzeczy szybciej, taniej i na większą liczbę osób.
Przejęcie konta jako nowy standard
Jednym z najszybciej rosnących zjawisk jest „account takeover”, czyli przejęcie konta ofiary i wykonywanie nieautoryzowanych operacji. Najwięcej takich zgłoszeń dotyczyło obszarów, w których codziennie zostawiamy ślady danych i gdzie płatność jest „na klik”: kont mobilnych, zakupów online oraz kart kredytowych.
To logiczne z perspektywy przestępców. Jeśli ktoś przejmie numer telefonu, skrzynkę e-mail lub konto w sklepie internetowym, zyskuje dostęp do kolejnych usług, resetów haseł i kodów weryfikacyjnych. W efekcie jedno naruszenie potrafi uruchomić kaskadę kolejnych, a ofiara często dowiaduje się o problemie dopiero, gdy pojawiają się transakcje lub nowe zobowiązania.
„Fraud as a service” i fabryki wiarygodności
W tle rośnie rynek gotowych narzędzi sprzedawanych jak produkt: zestawy do oszustw, instrukcje, szablony wiadomości, a nawet usługi prowadzenia kampanii. Ten model – określany jako „fraud as a service” – obniża próg wejścia. Nie trzeba być ekspertem od cyberbezpieczeństwa, by uruchomić wiarygodną akcję wyłudzeniową; wystarczy kupić pakiet i zastosować go na dużej liczbie celów.
Sztuczna inteligencja dokłada do tego element, który wcześniej był kosztowny: tworzenie przekonujących profili i komunikatów. Fałszywe konta, zdjęcia, opisy, a nawet spójny styl wypowiedzi mogą powstawać masowo. To zmienia dynamikę ryzyka: coraz trudniej odróżnić „podejrzanie napisany scam” od wiadomości, która brzmi jak realny kontakt z obsługą klienta czy znajomym.
Tożsamość syntetyczna i presja ekonomiczna
Szczególnie niepokojący jest rozwój tzw. tożsamości syntetycznych – długoterminowych profili, które mieszają elementy prawdziwych danych z wygenerowanymi. Taki profil może „dojrzewać” miesiącami: zbierać historię aktywności, budować wiarygodność, a potem zostać użyty do otwierania kont, zaciągania zobowiązań lub przejmowania usług.
Równolegle rośnie zjawisko udostępniania dokumentów tożsamości przez osoby w trudnej sytuacji finansowej. To ważny, często pomijany wątek: przestępczość cyfrowa nie działa w próżni. Gdy ktoś sprzedaje skan dowodu lub „pożycza” swoje dane, tworzy się dodatkowy kanał nadużyć, który trudno zatrzymać samymi ostrzeżeniami o phishingu.
SIM swap: mały ruch, duże konsekwencje
Wyraźnie przybywa prób oszustwa typu „sim-swap”, czyli przejęcia numeru telefonu poprzez nakłonienie operatora do przeniesienia numeru na kartę SIM kontrolowaną przez przestępcę. To atak szczególnie groźny, bo numer telefonu bywa kluczem do odzyskiwania haseł i otrzymywania kodów jednorazowych.
Wzrost takich prób wiąże się z dostępnością skompromitowanych danych osobowych. Jeśli przestępca ma imię, nazwisko, adres, PESEL lub fragmenty historii kontaktu, łatwiej mu podszyć się pod klienta. AI pomaga tu w „dopieszczeniu” narracji: przygotowaniu rozmowy, wiadomości i argumentów tak, by brzmiały wiarygodnie i spójnie.
Pranie pieniędzy rękami ofiar
W bazie zgłoszeń odnotowano też ponad 22 tys. przypadków tzw. money muling, czyli wykorzystywania kont osób trzecich do transferu środków. Mechanizm bywa banalny: fałszywa oferta pracy, „zlecenia” polegające na przyjmowaniu przelewów i ich dalszym wysyłaniu, albo sytuacje z internetowych marketplace’ów, gdzie sprzedający dostaje rzekomo za dużo i ma „oddać różnicę”.
To obszar, w którym AI może zwiększać skuteczność przez personalizację. Wiadomości rekrutacyjne mogą wyglądać jak prawdziwe, a korespondencja może być prowadzona płynnie i bez językowych potknięć, które kiedyś zdradzały oszustów. Konsekwencje są poważne: „słup” nie tylko traci pieniądze, ale może też wpaść w kłopoty prawne i bankowe.
Jak się zabezpieczać przed oszustwami z AI
Podstawą jest ograniczenie „punktów zaczepienia”. Warto włączyć uwierzytelnianie dwuskładnikowe tam, gdzie to możliwe, ale najlepiej opierać je na aplikacji uwierzytelniającej lub kluczach sprzętowych, a nie na SMS-ach – właśnie ze względu na ryzyko sim-swap. Drugim filarem jest higiena haseł: unikalne hasła dla każdej usługi i menedżer haseł zamiast powtarzania tych samych kombinacji.
W codziennych sytuacjach liczy się też procedura „pauzy”: nie klikać w linki z wiadomości o dopłacie, paczce czy blokadzie konta, tylko wejść do usługi samodzielnie (przez aplikację lub ręcznie wpisany adres) i tam sprawdzić komunikaty. Przy telefonach od rzekomej obsługi klienta działa prosta zasada: rozłącz się i oddzwoń na numer z oficjalnej strony. A jeśli ktoś proponuje „łatwy zarobek” przez przelewy lub prosi o przesłanie dokumentu – to sygnał alarmowy, niezależnie od tego, jak profesjonalnie brzmi rozmowa.
Dlaczego system przegrywa z tempem zmian
Oszustwa stanowią ponad 40% wszystkich przestępstw w Wielkiej Brytanii, a jednocześnie rośnie poczucie bezradności: w badaniu jednego z banków tylko 36% respondentów deklarowało, że potrafiłoby rozpoznać oszustwo wspierane przez AI. To ważny wskaźnik, bo pokazuje lukę między rozwojem narzędzi ataku a kompetencjami obrony po stronie konsumentów.
Wnioski z danych są mało optymistyczne: przestępczość staje się bardziej zorganizowana, transgraniczna i „produktowa”. Skuteczna odpowiedź będzie wymagała współpracy między sektorami – od telekomów, przez banki, po platformy e-commerce – tak, by szybciej wyłapywać wzorce i blokować łańcuchy przejęć. Bez tego AI będzie dalej działać jak wzmacniacz: nie zastąpi oszusta, ale sprawi, że oszustwo stanie się tańsze, szybsze i trudniejsze do wykrycia.
Oryginalny tekst: ‘Convincing’ AI scams drove UK fraud cases to record 444,000 last year