Wróć do encyklopedii
Zagrożenie krytyczne — wysoki priorytet obrony
Socjotechnika
Krytyczny
ZarządCISOPracownicyFinanse

Deepfake i AI Social Engineering

Deepfake & AI-Powered Social Engineering

Deepfake audio i wideo + AI generujące perfekcyjne ataki socjotechniczne. Jak rozpoznać fałszywy głos CEO i obronić się w 2026?

2 min czytaniaPrzykład: Deepfake wideo na Zoom — firma Arup w Hong Kongu straciła 25 mln USD (2024)
Udostępnij
Deepfake i AI Social Engineering

MITRE ATT&CK

Kluczowe wnioski

  • Deepfake audio wymaga zaledwie 3-5 sekund próbki głosu — publiczne nagrania CEO wystarczą
  • AI generuje perfekcyjne e-maile phishingowe — bez błędów, z firmowym żargonem
  • W 2025 firma w HK straciła 25 mln USD przez deepfake wideo na rozmowie Zoom
  • Obrona: hasła weryfikacyjne, procedury dwukanałowe, szkolenia z rozpoznawania deepfake

Czym jest deepfake i AI social engineering?

Deepfake to technologia AI generująca realistyczne fałszywe audio, wideo lub obrazy. W kontekście cyberbezpieczeństwa, deepfake służy do podszywania się pod zaufane osoby — klonowanie głosu CEO, generowanie fałszywego wideo na rozmowach Zoom, tworzenie realistycznych zdjęć profilowych.

AI social engineering to szersze zjawisko — wykorzystanie modeli językowych (LLM) do tworzenia perfekcyjnych ataków socjotechnicznych: bezbłędnych e-maili phishingowych, spersonalizowanych wiadomości, automatycznych konwersacji z ofiarami.

Jak działa atak?

Deepfake audio (CEO voice clone)

  1. Pozyskanie próbki — nagranie głosu CEO z publicznych źródeł (YouTube, podcasts, prezentacje)
  2. Klonowanie — narzędzie AI generuje model głosu (3-5 sekund wystarczy)
  3. Atak — "CEO" dzwoni do księgowej z pilną prośbą o przelew

Deepfake wideo (Zoom impersonation)

  1. Przygotowanie — na podstawie zdjęć i nagrań tworzy realistyczny awatar wideo
  2. Rozmowa — atakujący prowadzi spotkanie Zoom udając dyrektora / kontrahenta
  3. Przekonanie — ofiara widzi "znaną twarz" i słyszy "znany głos", wykonuje polecenia

AI phishing (automated spear phishing)

  1. OSINT — AI zbiera dane z LinkedIn, social media, strony firmowej
  2. Personalizacja — generuje spersonalizowany e-mail z kontekstem (projekt, deadline, relacje)
  3. Skala — jednocześnie atakuje tysiące osób, każda wiadomość unikalna

Kogo dotyczy w Polsce?

  • Kadra zarządzająca — ich głos i wizerunek są publiczne (konferencje, media)
  • Działy finansowe — cel deepfake CEO fraud
  • Każdy pracownik — AI-phishing jest personalizowany masowo
  • Firmy bez procedur weryfikacyjnych — brak hasła weryfikacyjnego = podatność

Jak się chronić?

  1. Hasło weryfikacyjne — ustal tajne słowo z kluczowymi współpracownikami, wymagaj go przy pilnych prośbach
  2. Procedura dwukanałowa — pilne żądania wymagają potwierdzenia innym kanałem (e-mail + telefon)
  3. Szkolenia deepfake awareness — pracownicy muszą wiedzieć, że głos/wideo CEO może być fałszywy
  4. Ograniczenie publicznych nagrań — rozważ jakie materiały audio/wideo publikujesz
  5. Zero-trust dla przelewów — każdy przelew powyżej progu wymaga wielopoziomowej autoryzacji

Jak SecIQ pomaga?

  • Szkolenia deepfake awareness — demonstracje klonowania głosu na żywo
  • Procedury bezpieczeństwa — wdrożenie protokołów weryfikacji dla kadry zarządzającej
  • SecIQ SOC — monitoring podejrzanych logowań i aktywności po atakach AI-phishing
  • Microsoft Defender — detekcja phishingu generowanego przez AI

Zamów szkolenie z ochrony przed deepfake.

DeepfakeAISocial EngineeringCEO FraudGenerative AI

Najczęściej zadawane pytania

Czy deepfake audio jest łatwy do stworzenia?
Tak. W 2026 dostępne są narzędzia klonujące głos z 3-5 sekund nagrania. Publiczne źródła głosu CEO — webinary, YouTube, podcasty, prezentacje — wystarczają. Koszt: od kilkudziesięciu dolarów miesięcznie za narzędzie AI.
Jak rozpoznać deepfake audio przez telefon?
Trudno — jakość jest coraz lepsza. Stosuj procedury: ustal tajne hasło weryfikacyjne ze współpracownikami, przy pilnych prośbach odłóż się i oddzwoń na znany numer, nigdy nie wykonuj przelewów na podstawie samego połączenia telefonicznego.
Czy AI generuje lepszy phishing niż ludzie?
Tak. Testy pokazują, że phishing generowany przez AI ma wyższy wskaźnik kliknięć niż tworzony przez ludzi. AI nie popełnia błędów ortograficznych, używa firmowego żargonu i personalizuje treść na podstawie danych z LinkedIn i social media.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Powiązane ataki

Socjotechnika
Wysoki

Phishing — atak e-mailowy

2 min czytania

Socjotechnika
Wysoki

Quishing — QR Code Phishing

2 min czytania

Socjotechnika
Średni

Smishing — phishing SMS

2 min czytania

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Umów konsultacjęPoznaj SecIQ SOC

Bezpłatna konsultacja · 15 min · bez zobowiązań