Chatboty i asystenci głosowi jako narzędzie hakerów – jak nie dać się oszukać w 2025

Realistyczny charakter funkcji i urządzeń czatu automatycznego może sprawić, że ludzie będą czuli się komfortowo dzieląc się swoimi danymi osobowymi. Jednak przestępcy często używają tych popularnych technologii w schematach phishingowych. Wykorzystanie chatbotów w cyberprzestępczości staje się coraz powszechniejsze, dlatego w tym artykule przedstawimy najpopularniejsze oszustwa AI w 2025 roku.

Wykorzystanie Chatbotów w cyberprzestępczości w 2025 roku

Zautomatyzowane chatboty mają dziś różne zastosowania: zamawianie pizzy, sprawdzanie salda konta bankowego lub terapia zdrowia psychicznego. Jeden na trzech mężczyzn w USA korzysta z ChatGPT, aby wspierać swoje relacje. Zastosowania chatbotów są niemal nieograniczone. Jednak firmy wykorzystują je przede wszystkim do angażowania odwiedzających ich strony internetowe i zwiększania liczby zakupów online. Jest to jeden z głównych czynników napędzających przewidywany 25-procentowy wzrost rok do roku w wielkości rynku chatbotów.

W miarę jak firmy znajdują coraz więcej zastosowań dla chatbotów, cyberprzestępcy również znajdują nowe sposoby na wykorzystywanie użytkowników chatbotów i kradzież ich danych osobowych. Niestety większość ludzi nie zdaje sobie sprawy z tego zagrożenia. Według badań przeprowadzonych przez Security.org 58 procent dorosłych stwierdziło, że nie wiedziało, że chatboty mogą być manipulowane w celu uzyskania dostępu do danych osobowych.

Ten przewodnik pomoże Ci bezpiecznie korzystać z chatbotów i pokaże Ci, jak zadbać o bezpieczeństwo asystentów głosowych, zanim udostępnisz im poufne informacje.

Zagrożenia związane z chatbotami AI w 2025 roku

Chociaż przynoszą korzyści firmom i klientom, istnieją pewne ryzyka i podatności, o których należy pamiętać podczas korzystania z funkcji czatu na stronach internetowych. Większość ludzi nie jest pewna, że te czaty online są całkowicie bezpieczne. W rzeczywistości tylko 11 procent było bardzo lub niezwykle pewnych, że firmy odpowiednio zabezpieczyły te funkcje czatu.

Jak bardzo jesteś pewien, że firmy podjęły wystarczające działania, aby zapewnić bezpieczeństwo swoich chatbotów w handlu detalicznym lub bankowości?

Jeśli klienci nie czują się bezpiecznie, składając zamówienie za pomocą numeru swojej karty kredytowej w publicznych sieciach WiFi, nie powinni czuć się bezpiecznie również podczas składania zamówienia za pośrednictwem chatbota. Według badań Security.org ludzie wydają się być bardziej zaniepokojeni bezpieczeństwem swoich informacji w czatach bankowości internetowej niż w czatach sprzedawców internetowych. Ma to sens, biorąc pod uwagę poufne informacje związane z kontami bankowymi, które mogą być szkodliwe, jeśli trafią w niepowołane ręce.

Poziom obaw użytkowników o prywatność online podczas korzystania z chatbotów do bankowości i zakupów online

Jednak nawet w czatach zakupów detalicznych przestępcy mogą uzyskać dostęp do informacji o kartach kredytowych ofiar, jeśli firma ma naruszenie danych. Jeśli dane karty kredytowej lub inne dane osobowe zostały udostępnione i przechowywane w zautomatyzowanych czatach, hakerzy mogą je ukraść i zmanipulować. Niezależnie od tego, jakiego chatbota używasz, ważne jest, aby zachować czujność i chronić swoje dane osobowe.

Ostatnie głośne oszustwa z udziałem chatbotów

Oszuści wykorzystujący chatboty często podszywają się pod godne zaufania marki podczas planowania swoich oszustw. Według badań Security.org, phisherzy podszywają się najczęściej pod duże marki, takie jak Apple, Amazon i eBay. Oto kilka przykładów oszustw wykorzystujących chatboty, w których źli aktorzy udają, że reprezentują duże firmy, aby uzyskać poufne informacje od ofiar.

Oszustwo DHL Chatbot

DHL to firma kurierska, dostarczająca paczki i świadcząca usługi ekspresowej poczty. W maju 2022 r. rozprzestrzenił się oszustwo phishingowe z wykorzystaniem chatbota – ale nie zaczęło się ono w formie chatbota. Zasadniczo oszuści prosili niczego niepodejrzewających ludzi o zapłacenie dodatkowych kosztów wysyłki, aby otrzymać paczki. Ofiary musiały udostępniać dane swojej karty kredytowej, aby zapłacić opłatę za wysyłkę.

E-mail z aktualizacją wysyłki DHL Chatbot Scam

Najpierw ofiary otrzymały e-mail o problemach z dostawą paczek DHL. Jeśli kliknęły na link e-mail, zostały ostatecznie przekierowane do chatbota. Rozmowa z chatbotem mogła wydawać się wiarygodna dla niektórych użytkowników, ponieważ zawierała formularz captcha, monity o adres e-mail i hasło, a nawet zdjęcie uszkodzonej paczki. Jednak było kilka oznak, że było to oszustwo:

• Pole „Od” w wiadomości e-mail było puste.
• Adres strony internetowej jest nieprawidłowy (dhiparcel.com, nie DHL.com).

Oszustwo e-mailowe DHL chatbot z pustym polem

Czy wiesz: Oszustwa phishingowe nie kończą się tylko w Twojej skrzynce odbiorczej. Cyberprzestępcy rozwinęli swoje oszustwa phishingowe, aby obejmowały wiadomości tekstowe. Przeczytaj nasz przewodnik po wiadomościach tekstowych phishingowych zwanych „smishingiem”, aby dowiedzieć się więcej. Stworzyliśmy również przewodnik, jak zatrzymać wiadomości spamowe.

Oszustwo na czacie Facebook Messenger

Meta’s Messenger i Facebook również padły ofiarą oszustwa chatbot. Niektórzy użytkownicy Facebooka otrzymali oszukańczy e-mail wyjaśniający, że ich strona narusza standardy społeczności. Ich konto na Facebooku zostanie automatycznie usunięte, jeśli nie odwołają się od decyzji w ciągu 48 godzin.

Oszustwo e-mailowe na czacie Facebook Messenger

Link przeniósł niczego niepodejrzewających czytelników do zautomatyzowanego czatu pomocy technicznej w Facebook Messenger. Chatbot polecił im udostępnienie oszustom nazwy użytkownika i hasła do Facebooka, co było celem tego procederu.

Było kilka wyraźnych oznak, że jest to oszustwo:

• Domena nadawcy wiadomości e-mail i adres „od” nie były adresami Facebook, Meta ani Messenger.
• Strona internetowa nie była oficjalną stroną wsparcia na Facebooku.
• Strona na Facebooku powiązana z chatbotem nie miała żadnych postów ani obserwujących.
• Czatbot prosił użytkowników o podanie swoich nazw użytkowników i haseł.

Jak zachować bezpieczeństwo podczas korzystania z chatbotów?

Chatboty mogą być niezwykle użyteczne i zazwyczaj bezpieczne, niezależnie od tego, czy korzystasz z nich online, czy za pośrednictwem urządzeń domowych, takich jak Alexa Echo Dot. Kilka oznak ostrzegawczych może wskazywać, że oszukańczy chatbot ma Cię na celowniku.

Oto kilka sposobów, aby zachować bezpieczeństwo i unikać oszustw AI w 2025 roku:

• Używaj chatbotów tylko na stronach internetowych, które odwiedziłeś sam (nie używaj chatbotów na stronach internetowych, na które trafiłeś, klikając linki w podejrzanych wiadomościach e-mail lub SMS).
• Jeśli otrzymasz wiadomość e-mail z linkiem do chatbota, zawsze sprawdź adres „from” przed kliknięciem jakiegokolwiek linku. Na przykład, jeśli nadawca twierdzi, że jest z Walmart, sufiks adresu „from” powinien odpowiadać adresowi internetowemu Walmart.
• Klikaj tylko na linki w wiadomościach tekstowych i e-mailach, których się spodziewałeś lub które pochodzą od znanych ci nadawców.
• Ignoruj kuszące oferty i niesamowite nagrody, zwłaszcza gdy pojawiają się znikąd. Oszustwa z chatbotami zazwyczaj pochodzą z wyskakujących okienek i linków ze stron internetowych, wiadomości e-mail i wiadomości tekstowych. Na przykład oszustwo z Apple iPhone 12 zaczęło się od wiadomości tekstowej. Wiadomości tekstowe dają znaczną przewagę nad oszustwami e-mailowymi, ponieważ skrócone adresy URL łatwiej ukrywają wątpliwe adresy URL i skróconą lub niepoprawną gramatykę.
• Kieruj się zasadą, że jeśli nagroda lub oferta wydaje się zbyt dobra, żeby była prawdziwa, to taka nie jest.
• Jeśli otrzymasz podejrzaną wiadomość, wyszukaj w Internecie nazwę firmy i ofertę lub wiadomość, o której mowa. Jeśli oferta jest prawdziwa i ważna, prawdopodobnie znajdziesz więcej informacji na jej temat na stronie internetowej firmy. Jeśli jest fałszywa, możesz znaleźć doniesienia prasowe o oszustwie lub nie znaleźć żadnych informacji.
• Aby zapewnić jeszcze lepszą ochronę swoich kont przed nieautoryzowanymi użytkownikami, stosuj uwierzytelnianie dwuskładnikowe lub wieloskładnikowe.
• Uważaj na nieznane lub losowe prośby o informacje dotyczące płatności lub dane osobowe za pośrednictwem chatbotów. Jeśli jest to prawdziwa firma, nie będą zadawać Ci poufnych pytań za pośrednictwem czatu.
• Zawsze aktualizuj programy antywirusowe i przeglądarki.
• Zachowaj czujność w przypadku podejrzanych wiadomości od chatbotów i zgłaszaj każdą złośliwą aktywność.
• Unikaj korzystania z niezabezpieczonych lub publicznych sieci Wi-Fi w celu uzyskania dostępu do poufnych informacji.
• Zadbaj o bezpieczeństwo asystentów głosowych.
• Jeśli często otrzymujesz wiadomości tekstowe z nieznanych numerów, które zawierają podejrzane linki, możesz dostosować ustawienia operatora, aby filtrować połączenia i wiadomości spamowe. Możesz również pobrać aplikacje mobilne, aby blokować podejrzane numery i wiadomości tekstowe. Przekaż wszystkie otrzymane wiadomości tekstowe oszukańcze do Federal Trade Commission (FTC) pod numer 7726, aby mogli śledzić i badać oszustwo.

Zagrożenia i podatności bota asystenta domowego AI

Zagrożenia ze strony chatbotów nie dotyczą wyłącznie Internetu – większość Amerykanów już otworzyła swoje domy na bardzo podobne interfejsy. Ta sama konwersacyjna sztuczna inteligencja, która napędza internetowe chatboty, jest zakodowana w wirtualnych asystentach osobistych (VPA), takich jak Alexa firmy Amazon, Home firmy Google i Siri firmy Apple.

Ponad połowa respondentów w badaniu, które przeprowadził Security.org, posiada asystenta głosowego AI, co oznacza, że 120 milionów Amerykanów regularnie udostępnia takie urządzenia swoim informacjom osobistym. Alexa firmy Amazon jest obecnie najpopularniejszym modelem.

Asystenci domowi oferują wygodę, obsługując domowe operacje ze zrozumieniem naszych osobistych potrzeb i preferencji. Ta funkcjonalność sprawia również, że interfejsy stanowią ryzyko dla prywatności i bezpieczeństwa. Słusznie, nie każdy im ufa.

Ponad 90 procent użytkowników ma wątpliwości co do bezpieczeństwa asystentów domowych, a mniej niż połowa ma do nich jakiekolwiek zaufanie.

Jak bardzo jesteś pewien, że firmy podjęły wystarczające działania, aby zapewnić bezpieczeństwo swoich asystentów domowych z obsługą sztucznej inteligencji i sterowaniem głosem

Ten sceptycyzm jest uzasadniony. Asystenci aktywowani głosem nie mają wielu protokołów, które mogą udaremnić oszustwo powiązane z przeglądarką. Zamiast żądać logowania hasłem za pośrednictwem weryfikowalnych stron internetowych, asystenci mogą przyjmować polecenia od kogokolwiek bez wizualnego potwierdzenia ich zdalnych połączeń. Ten proces umożliwia oszustwo po obu stronach równania. Włączenie mikrofonów zawsze włączonych dopełnia przepisu na potencjalną katastrofę.

Niektóre luki w zabezpieczeniach VPA mogą prowadzić do zabawnych sytuacji, jak wtedy, gdy dzieci wykorzystują je do kupowania zabawek za pomocą kart kredytowych rodziców. Inne historie wydają się o wiele bardziej nikczemne. Na przykład Amazon przyznaje się do podsłuchiwania rozmów Alexy, mimo że Google i Apple stoją w obliczu procesów sądowych za podobne praktyki.

Ataki osób trzecich są szczególnie przerażające, ponieważ wirtualni asystenci często mają dostęp do kont osobistych i mogą być podłączeni do domowych urządzeń sterujących (oświetleniem, ogrzewaniem, zamkami i innymi).

Zewnętrzne naruszenia bezpieczeństwa asystentów AI zwykle mieszczą się w jednej z poniższych kategorii:

Podsłuchiwanie: Najbardziej podstawowym problemem ze stale włączonego mikrofonu jest przekształcenie go w urządzenie szpiegujące. Ciągłe podsłuchiwanie jest zamierzone jako funkcja, a nie błąd: urządzenia biernie czekają na „słowa wybudzające”, producenci sprawdzają interakcje, aby poprawić wydajność, a niektóre VA umożliwiają zdalne podsłuchiwanie w celach komunikacyjnych lub monitorujących. Przejęcie tej możliwości skutecznie umieściłoby złe ucho w twoim domu. Oprócz przerażającego naruszenia twojej prywatności, takie wtargnięcia mogłyby przechwycić dane finansowe, wskazówki dotyczące haseł, materiały szantażowe i sposób na potwierdzenie, że rezydencja jest pusta.

Oszuści: Inteligentne głośniki łączą klientów z usługami za pomocą poleceń głosowych z niewielką weryfikacją, co jest luką, którą sprytni programiści wykorzystują, aby oszukać nieświadomych użytkowników. Hakerzy mogą stosować metodę zwaną „voice squatting”, w której niechciane aplikacje uruchamiają się w odpowiedzi na polecenia brzmiące jak uzasadnione żądania. Alternatywne podejście zwane „voice masquerading” polega na tym, że aplikacje udają, że zamykają się lub łączą gdzie indziej. Zamiast wykonywać żądania zamknięcia lub uruchomienia alternatywnych aplikacji, uszkodzone programy udają wykonanie, a następnie zbierają informacje przeznaczone dla innych. Według naszego badania tylko 15 procent respondentów wiedziało o tych możliwych atakach hakerskich.

Nadrzędne: Kilka technologicznych sztuczek może pozwolić osobom z zewnątrz na zdalne sterowanie asystentami AI. Urządzenia wykorzystują częstotliwości ultradźwiękowe do parowania z innymi urządzeniami elektronicznymi, więc zakodowane polecenia głosowe przesyłane powyżej 20 kHz są niesłyszalne dla ludzi, ale odbierane przez zgodne inteligentne głośniki. Te tak zwane „ataki delfinów” mogą być nadawane niezależnie lub osadzone w innym dźwięku. Naukowcy wyzwolili również działania asystentów za pomocą poleceń świetlnych – wahających się laserów interpretowanych jako głosy, aby sterować urządzeniami z daleka. Osiemdziesiąt osiem procent właścicieli asystentów AI w naszym badaniu nigdy nie słyszało o tych nikczemnych taktykach.

Self-hacks: Naukowcy niedawno odkryli metodę, która pozwala obrócić inteligentne głośniki przeciwko nim samym. Hakerzy w zasięgu Bluetooth mogą sparować się z asystentem i użyć programu, aby zmusić go do wypowiadania poleceń audio. Ponieważ chatbot rozmawia sam ze sobą, instrukcje są postrzegane jako legalne i wykonywane – potencjalnie uzyskując dostęp do poufnych informacji lub otwierając drzwi intruzowi.

Sposoby zabezpieczania urządzeń z asystentem domowym AI

Producenci wydają aktualizacje, aby rozwiązać luki w zabezpieczeniach, ale gdy działy asystentów osobistych tracą miliardy dolarów, takie wsparcie prawdopodobnie zostanie ograniczone. Na szczęście istnieją proste kroki, które konsumenci mogą podjąć, aby pomóc chronić swoje urządzenia.

• Wycisz mikrofon: Wyłączenie mikrofonu asystenta, gdy nie jest on aktywnie używany, może ograniczyć przyjemność i wygodę korzystania (uniemożliwiając przypadkowe włączenie piosenki lub prognozy pogody), ale uniemożliwia dostęp do wielu ataków hakerskich.
• Dodaj kod PIN lub rozpoznawanie głosu: Większość asystentów AI może wymagać dopasowywania głosu, osobistych numerów identyfikacyjnych lub uwierzytelniania dwuskładnikowego przed wykonaniem kosztownych poleceń. Aktywowanie tych zabezpieczeń zapobiega posłuszeństwu urządzenia przez nieautoryzowanych użytkowników i uniemożliwia dzieciom dokonywanie zakupów bez autoryzacji.
• Usuń i zablokuj nagrania: Użytkownicy mogą cofnąć zgodę producenta na nagrywanie lub przeglądanie poleceń audio. W ustawieniach „Alexa Privacy” (Amazon) lub „Activity Controls” (Google) właściciele mogą znaleźć opcję, aby zabronić zapisywania lub wysyłania nagrań. Urządzenia Apple nie nagrywają już użytkowników domyślnie, chociaż właściciele mogą wyrazić na to zgodę i zezwolić na to.
• Ustaw powiadomienia o nasłuchiwaniu: Skonfigurowanie asystentów tak, aby emitowali sygnały dźwiękowe podczas aktywnego słuchania lub potwierdzania poleceń, zapewnia przypomnienie i może umożliwić wykrycie zewnętrznych ataków ultradźwiękowych lub laserowych.
• Wyłącz zakupy głosowe: Impulsywne zakupy z wypowiedzianym na głos zdaniem to współczesny cud, który rzadko jest konieczny. Biorąc pod uwagę ich niedociągnięcia w zakresie bezpieczeństwa, umożliwienie wirtualnym asystentom dostępu do transakcji finansowych lub ich wykonywania jest ryzykowne. Zamiast tego niech asystent umieści przedmioty na liście, a następnie potwierdzi zakup z bezpieczniejszego terminala.
• Aktualizuj oprogramowanie układowe: Upewnij się, że Twoje urządzenia z asystentem AI są regularnie aktualizowane najnowszym oprogramowaniem. Pomaga to Twojemu oprogramowaniu układowemu walczyć z nowymi atakami stworzonymi w celu hakowania urządzeń z przestarzałym oprogramowaniem.
• Korzystaj ze skutecznego antywirusa: Bitdefender Total Security został wyposażony w moduł ochrony mikrofonu.  
• Zabezpiecz swoją sieć Wi-Fi: Nie zakładaj, że Twoja sieć Wi-Fi jest nie do zhakowania. Używaj silnego hasła i włącz szyfrowanie WPA3, jeśli to możliwe.
• Ogranicz aplikacje innych firm: Nie podłączaj po prostu każdej możliwej aplikacji innych firm. Włączaj tylko te, którym ufasz.
• Ponadto należy pamiętać o przestrzeganiu podstawowych protokołów bezpieczeństwa, które są nieodłączną częścią każdego urządzenia online. Niektórzy uważają VA za członków rodziny, a nie gadżety, ale nadal ważne jest, aby aktualizować oprogramowanie układowe, używać silnych haseł i podłączać je tylko do zabezpieczonych routerów osobistych.

Oszustwa związane z chatbotami w aplikacjach randkowych

Uważaj na oszustwa AI w 2025 roku, jeśli szukasz miłości w aplikacjach randkowych. Od stycznia 2023 r. do stycznia 2024 r. liczba oszustów korzystających z chatbotów i tekstów generowanych przez sztuczną inteligencję w aplikacjach randkowych wzrosła o 2087 procent.

Oszuści używają botów do zakładania nowych kont i tworzenia fałszywych profili randkowych. Dzieje się to na masową skalę, a zgłoszone oszustwa matrymonialne w 2022 r. kosztowały około 1,3 miliarda dolarów w Stanach Zjednoczonych. Możesz być szczególnie narażony, jeśli masz od 51 do 60 lat, zgodnie z badaniami Barclays.

Technologia AI, taka jak ChatGPT, pozwala oszustom odnosić większe sukcesy w nawiązywaniu rozmów z potencjalnymi ofiarami. Nadal jednak istnieją oznaki, że możesz rozmawiać z botem lub oszustem polegającym na AI w nawiązywaniu rozmów:

• Zdjęcia profilowe są „zbyt dobre, żeby mogły być prawdziwe” (możesz sprawdzić w Google Images, czy zdjęcia znajdują się gdzie indziej w sieci).
• Profil jest bardzo prosty i zawiera niewiele szczegółów.
• Użytkownik prosi o przeniesienie konwersacji poza aplikację tak szybko, jak to możliwe (zanim aplikacja usunie oszusta z aplikacji na podstawie zgłoszeń użytkowników lub narzędzi wykrywających AI).
• Zauważasz niespójność osobowości i tonu wypowiedzi, co jest częste, gdy wielu oszustów rozmawia za pośrednictwem jednego profilu.
• Odmawiają wykonywania połączeń wideo i telefonicznych.
• Wysyłają wiadomości o dziwnych porach dnia.
• Proszą cię o pieniądze.
• Unikają odpowiadania na pytania osobiste lub udzielają niejasnych odpowiedzi.
• Wykazują się słabą gramatyką lub nietypowym słownictwem, mimo że twierdzą, że są rodzimymi użytkownikami języka.
• Wysyłają linki lub załączniki bez kontekstu i wyjaśnień.

Jeszcze kilka lat temu jedna osoba mogła przeprowadzić 20 oszustw randkowych dziennie. Jednak dzięki zautomatyzowanym chatbotom możliwe jest przeprowadzenie setek tysięcy oszustw naraz.

Wnioski: Czego nigdy nie należy udostępniać chatbotom

W większości przypadków chatboty są legalne i tak samo bezpieczne jak inne aplikacje lub strony internetowe. Środki bezpieczeństwa, takie jak szyfrowanie, redagowanie danych, uwierzytelnianie wieloskładnikowe i pliki cookie, zapewniają bezpieczeństwo informacji w chatbotach. Jeśli przypadkowo podasz legalnemu chatbotowi swój numer PESEL lub datę urodzenia, funkcje redagowania mogą automatycznie usunąć dane z transkryptu.

Powiedziawszy to, powinieneś zachować ostrożność, wysyłając dane osobowe i inne rodzaje poufnych danych. Czasami wysyłanie PII jest nieuniknione, ponieważ interakcja z chatbotem jest podobna do logowania się na konto i samodzielnego przesyłania PII. Oto kilka punktów danych osobowych, których nie powinieneś wysyłać za pośrednictwem chatbota:

• Numer PESEL.
• Numery kart kredytowych.
• Informacje bankowe lub numery kont.
• Informacje medyczne.

Pamiętaj także, aby nie udostępniać zbyt wielu informacji o swoim życiu. Powstrzymaj się od wysyłania lub dobrowolnego podawania dodatkowych informacji poza wymaganymi. Na przykład nie podawaj swojego pełnego adresu, jeśli chatbot prosi tylko o kod pocztowy. Nigdy nie udostępniaj informacji, których normalnie nie potrzebujesz, i zastanów się dokładnie, zanim wyślesz jakiekolwiek dane osobowe online. Na przykład nigdy nie musiałbyś udostępniać swojego numeru PESEL, aby sprawdzić dostawę paczki lub sprawdzić stan swojego konta bankowego.