2025-ben az adathalász e-mailek 60%-át már AI generálta. A deepfake hanghívásokkal elkövetett vállalati csalások összege globálisan meghaladta a 25 milliárd dollárt.
Miért más az AI-generált adathalászat?
A hagyományos phishing könnyen felismerhető volt: törött magyar nyelvezet, gyanús feladó, általános megszólítás. Az AI megváltozott mindent. A ChatGPT, Claude és hasonló nyelvi modellek segítségével a támadók percek alatt generálnak hibátlan, személyre szabott, kulturálisan releváns üzeneteket – amelyek teljesen meggyőzőnek tűnnek.
Az OSINT (nyílt forrású hírszerzés) eszközeivel a támadók percek alatt összegyűjtik a célszemély LinkedIn profilját, Twitter posztjait, cégadatait, üzleti kapcsolatait. Az AI ezekből személyre szabott, hihetős legendariumot alkot.
Az AI adathalászat 4 fő formája
1. Spear phishing – személyre szabott e-mailek
Az AI elemzi a célszemély online jelenlétét, és olyan e-mailt generál, amely hivatkozik valódi kollegákra, projektekre, vagy nemrég tartott konferenciákra. Például:
Feladó: kovacs.peter@cegnev-hu.com (hamisított)
„Szia Bálint! A múlt heti ügyvezető meetingen szóba kerülő NDA dokumentumot kérlek írd alá még ma, mert a szerződés határideje lejár. [Aláírási link]"
2. Deepfake hanghívások – vishing
3-5 másodpercnyi hangminta elég ahhoz, hogy AI klónozza valaki hangját. A támadók felhívnak egy pénzügyes kollégát az igazgató hangjával, és sürgős utalást kérnek. 2024-ben egy hongkongi cégtől 25 millió dollárt csaltak el így egyetlen hívással.
3. Deepfake videóhívások
Valósidejű deepfake technológiával a támadók már videóhívásban is képesek megszemélyesíteni a vezérigazgatót vagy egy üzleti partnert. A Microsoft Teams vagy Zoom hívásokban ezek egyre nehezebbem kiszűrhetők.
4. BEC – Business Email Compromise
A támadó feltör egy valódi üzleti e-mail fiókot (pl. könyvelő vagy vezető), majd az AI segítségével elemzi az e-mail történetet, és pontosan imitálja az illető stílusát és szokásos kifejezéseit. A végeredmény: egy teljesen hiteles pénzügyi kérés, amit nehéz megkérdőjelezni.
Hogyan ismerd fel és védekezz?
Telefonos megerősítési protokoll minden utalásnál
Minden pénzügyi tranzakciót – bármilyen sürgős is – elő kell hívással megerősíteni egy ismert, mentett telefonszámon (nem a kérésben szereplőn!). Ez az egyetlen 100%-os védekezés a BEC ellen.
E-mail hitelesítés: SPF, DKIM, DMARC beállítása
Ezek a technikai szabványok megnehezítik a domain hamisítást. Ha nincs beállítva, bárki küldhet e-mailt a te céged nevében. Ellenőrizd a mxtoolbox.com oldalon.
AI-alapú e-mail szűrő bevezetése
Ironscales, Abnormal Security, vagy Microsoft Defender for Office 365 AI-val elemzi az e-maileket és kiszűri a gyanús mintákat – beleértve a domain-hamisítást és a viselkedési anomáliákat.
„Lassíts le" kultúra kialakítása
Az AI alapú támadások kulcsa a sürgetés. Tanítsd meg az alkalmazottaknak: minden sürgős pénzügyi vagy adatmegosztási kérés esetén álljanak meg, lélegezzenek egyet, és megerősítési protokollt alkalmazzanak.
Vállalati kódszó kritikus kérésekhez
Alakíts ki egy belső ellenőrzőszót, amelyet telefonon kérni kell szokatlan kérések esetén. A deepfake nem tudja ezt – te viszont igen.
Piros zászlók – amikor érdemes megállni
Az aranyszabály: Ha egy e-mail vagy hívás pénzügyi döntést, jelszómegosztást vagy rendkívüli sürgősséget kér – automatikusan add le a telefont, és keress vissza egy ismert számra. Ez egyetlen lépés, amely megakadályozza a legtöbb AI alapú támadást.