Η επίδραση της τεχνητής νοημοσύνης στις επιθέσεις social engineering: Όταν οι απάτες γίνονται πιο πειστικές από ποτέ

Ο Μιχάλης, υπεύθυνος λογιστηρίου σε μια εταιρεία τεχνολογίας, δέχτηκε ένα τηλεφώνημα που φαινόταν να είναι από τον διευθυντή του. Η φωνή είχε τον γνώριμο τόνο, οι εκφράσεις και οι προφορές που ο Μιχάλης είχε ακούσει εκατοντάδες φορές  τόσο πειστική ώστε δεν ζήτησε δεύτερη επιβεβαίωση. Σε λίγα λεπτά εκτέλεσε εντολή για μεταφορά 90.000€ σε λογαριασμό που του δόθηκε. Μέσα σε 24 ώρες τα χρήματα είχαν διασκορπιστεί μέσω κρυπτονομισμάτων και κάθε ίχνος εξαφανίστηκε. Αργότερα, η εταιρεία ανακάλυψε ότι το τηλεφώνημα είχε δημιουργηθεί με τεχνολογία συνθετικής φωνής (deepfake) που είχε «εκπαιδευτεί» με λίγα δευτερόλεπτα δημόσιων ομιλιών του διευθυντή.

Από το συγκεκριμένο περιστατικό στην ευρύτερη εικόνα

Το περιστατικό του Μιχάλη παρουσιάζει καθαρά τις αδυναμίες: εμπιστοσύνη στην αίσθηση της «αυθεντικότητας», έλλειψη επιβεβαίωσης και διαδικασίες που μπορούν να εκμεταλλευτούν. Οι τεχνικές που χρησιμοποιούνται σήμερα περιλαμβάνουν:

• Deepfake φωνής και βίντεο: δημιουργούν πειστικές αναπαραγωγές που «μιμούνται» μια συγκεκριμένη προσωπικότητα.
• Εξατομικευμένο phishing: AI που γράφει emails στο ύφος ενός συγκεκριμένου διευθυντή ή συνεργάτη.
• Αυτοματοποιημένα chatbots: που μιμούνται ανθρώπινη συνομιλία και απαντούν σε πραγματικό χρόνο.
• Κοινωνική ανάλυση: scraping από social media για να εντοπιστούν ευπαθείς στόχοι (π.χ. ανακοινώσεις ταξιδιών, οικονομικές κινήσεις).

Αυτά τα εργαλεία επιτρέπουν κλιμάκωση και αυτοματοποίηση: χιλιάδες πολύ πειστικά μηνύματα ή τηλεφωνήματα με μικρό κόστος.

Πώς η Τεχνιτή Νοημοσύνη κάνει την απάτη πιο πειστική

1. Μικρό δείγμα — μεγάλη πιστότητα: αρκετά δευτερόλεπτα φωνής ή λίγες δημόσιες εμφανίσεις είναι αρκετά για να εκπαιδεύσουν μοντέλα φωνής.
2. Μίμηση ύφους γραφής: AI μπορεί να αναπαράγει το γραπτό ύφος ενός συγκεκριμένου ατόμου (email, Slack, LinkedIn).
3. Ανάλυση συμπεριφοράς: αυτοματοποιημένη αναζήτηση συνηθειών και σχέσεων για στοχευμένη παραπλάνηση.
4. Real-time προσαρμογή: bot που αλλάζουν τον τόνο και το περιεχόμενο με βάση τις απαντήσεις του θύματος.

Με λίγα λόγια: οι επιθέσεις γίνονται πιο φθηνές, ταχύτερες και πιο επιτυχημένες.

Γιατί το πρόβλημα είναι κρίσιμο

• Η εμπιστοσύνη στις αισθήσεις: άτομα εμπιστεύονται ό,τι βλέπουν/ακούν. Ένα πειστικό βίντεο ή τηλεφώνημα μειώνει την επιφυλακτικότητα.
• Οικονομικές και νομικές συνέπειες: χρήματα που χάνονται μέσω κρυπτονομισμάτων ή offshore λογαριασμών είναι δύσκολο να ανακτηθούν.
• Ζημιά στη φήμη: ψεύτικες δηλώσεις στελεχών μπορούν να προκαλέσουν άμεση βλάβη στην εικόνα μιας εταιρείας.
• Δυσκολία απόδειξης: τα ψηφιακά «αποτυπώματα» είναι εύκολο να αλλοιωθούν ή να κρυφτούν.

Πρακτικές λύσεις  το τι μπορούν να κάνουν εταιρείες και ιδιώτες

Εταιρικές πρακτικές

• Διπλή (ή πολλαπλή) επιβεβαίωση για οικονομικές εντολές: τηλεφωνική εντολή και γραπτή, υπογεγραμμένη έγκριση μέσω ασφαλούς καναλιού.
• Πολιτικές “out-of-band” επικοινωνίας: επιβεβαίωση κρίσιμων εντολών μέσω ανεξάρτητου μέσου (π.χ. προσωπικό κινητό της έγκρισης).
• Εκπαίδευση με simulated attacks: περιλαμβάνοντας και σενάρια με deepfakes ώστε οι εργαζόμενοι να μάθουν να αναγνωρίζουν σημάδια παραπλάνησης.
• Εργαλεία ανίχνευσης deepfakes: λύσεις που ελέγχουν metadata, αλλοιώσεις σε ήχο/εικόνα και πιστοποιήσεις αρχείων.
• Σχέδιο διαχείρισης κρίσεων: ταχύτητα αντίδρασης για έλεγχο ζημιάς στη φήμη και τεχνικές/νομικές ενέργειες.

Προσωπικά μέτρα (για εργαζόμενους/χρήστες)

• Μην ενεργείτε αμέσως σε επείγοντα αιτήματα: πάντα διπλός έλεγχος πριν μεταφορές ή κοινοποίηση ευαίσθητων πληροφοριών.
• Χρησιμοποιήστε ανεξάρτητο κανάλι για επαλήθευση: αν λάβετε τηλεφώνημα από «διευθυντή», καλέστε τον αριθμό του από το εταιρικό καταλόγιο.
• Περιορίστε δημόσιες πληροφορίες: μικρότερη έκθεση στα social media σημαίνει λιγότερα «υλικά» για την εξατομίκευση επιθέσεων.
• Αναφέρετε ύποπτες επικοινωνίες άμεσα: έτσι μειώνετε την πιθανότητα διάδοσης.

Η τεχνητή νοημοσύνη δημιουργεί νέες, πολύ πειστικές μορφές social engineering. Το παράδειγμα του Μιχάλη δείχνει πόσο εύκολα μια «αληθοφανής» ψευδαίσθηση μπορεί να οδηγήσει σε πραγματική ζημιά. Αντί για πανικό, χρειάζεται: σωστές διαδικασίες, συνεχής εκπαίδευση, τεχνολογίες ανίχνευσης και κουλτούρα επαλήθευσης. Οι οργανισμοί που επενδύουν σε αυτά  και οι χρήστες που ακολουθούν απλούς κανόνες  θα έχουν το πλεονέκτημα.