Deepfake phishing to zaawansowana odmiana oszustwa, w której przestępcy wykorzystują sztuczną inteligencję do tworzenia fałszywych, ale bardzo realistycznych nagrań wideo, audio lub obrazów. Zamiast tradycyjnej wiadomości e-mail z błędami oszust może zadzwonić głosem Twojego szefa, wysłać nagranie przypominające dziecko proszące o pomoc albo pojawić się na wideokonferencji jako znana Ci osoba, aby wyłudzić pieniądze, dane logowania, kod BLIK, dostęp do konta bankowego lub firmowych systemów.
Największe zagrożenie polega na tym, że deepfake phishing nie opiera się wyłącznie na technologii, ale na manipulacji zaufaniem. Realistyczny głos lub obraz jest tylko częścią ataku — równie ważne są presja czasu, emocje, znajomy kontekst i prośba, która ma wyglądać jak pilna, ale uzasadniona sytuacja. W tym artykule wyjaśniamy, jak działa deepfake phishing, jakie scenariusze są dziś najbardziej ryzykowne i jak chronić siebie, rodzinę oraz firmę przed oszustwami, w których sztuczna inteligencja może podszywać się pod szefa, dziecko, konsultanta banku, znaną osobę lub instytucję finansową.
Deepfake phishing – co to jest i dlaczego stał się realnym problemem?
Deepfake phishing to połączenie klasycznego phishingu, socjotechniki i treści generowanych przez sztuczną inteligencję. W praktyce oznacza to, że przestępca nie tylko wysyła fałszywy link lub wiadomość, ale próbuje przekonać ofiarę, że kontakt pochodzi od prawdziwej osoby. Może wykorzystać podrobiony głos, zmanipulowane wideo, fałszywy profil w mediach społecznościowych, przerobiony materiał przypominający program informacyjny albo reklamę inwestycyjną z udziałem znanej postaci.
W Polsce ten problem najmocniej widać w oszustwach inwestycyjnych. Komisja Nadzoru Finansowego ostrzega, że cyberprzestępcy wykorzystują deepfake do tworzenia realistycznych filmów lub nagrań, w których podszywają się pod znane osoby i polityków, aby zachęcać do fałszywych inwestycji. KNF wskazuje też, że w Polsce najwięcej przypadków użycia deepfake w przestępstwach obserwuje właśnie w scenariuszach określanych jako fraud inwestycyjny.
To ważne, bo deepfake phishing nie jest już wyłącznie problemem dużych korporacji albo osób publicznych. Dotyczy zwykłych użytkowników, którzy widzą w mediach społecznościowych reklamę z rzekomym wystąpieniem znanej osoby, odbierają telefon od „banku”, dostają SMS z linkiem, wiadomość od „członka rodziny” albo polecenie od „przełożonego”. Technologia deepfake jest tu narzędziem, ale właściwy atak nadal opiera się na tym samym mechanizmie: wzbudzić zaufanie, stworzyć presję i skłonić ofiarę do działania bez spokojnej weryfikacji.
Czytaj również: Fałszywy SMS od mObywatela. Oszuści wyłudzają dane karty
Jak działa deepfake phishing krok po kroku?
Pierwszy etap to zebranie kontekstu. Oszust sprawdza, kogo może wykorzystać jako „wiarygodną twarz” lub „wiarygodny głos”. W przypadku oszustw inwestycyjnych są to często osoby publiczne: przedsiębiorcy, sportowcy, politycy, dziennikarze, lekarze, celebryci albo influencerzy. W przypadku ataków na firmy może to być prezes, właściciel, dyrektor finansowy, menedżer albo kontrahent. W przypadku oszustw rodzinnych — dziecko, wnuk, partner, rodzic lub znajomy.
Drugi etap to przygotowanie wiarygodnego scenariusza kontaktu. Może to być reklama w social mediach, fałszywy artykuł, SMS, wiadomość na komunikatorze, telefon, wiadomość głosowa albo krótka rozmowa wideo. Atakujący często najpierw tworzy tło sytuacji: „piszę z nowego numeru”, „mam problem z telefonem”, „to pilna sprawa”, „zaraz wyślę nagranie”, „nie mogę długo mówić”, „ta inwestycja jest dostępna tylko dziś”. Dopiero później pojawia się obraz, głos albo link, który ma zmniejszyć czujność ofiary i nadać całej historii pozory prawdziwości.
Trzeci etap to wymuszenie działania. W deepfake phishingu prawie zawsze pojawia się konkretna prośba: wpłać pieniądze, podaj kod BLIK, zaloguj się do panelu, zainstaluj aplikację, potwierdź przelew, prześlij dokumenty, zmień numer rachunku kontrahenta, zatwierdź transakcję albo skontaktuj się z „doradcą”. To moment, w którym trzeba przerwać proces. W polskich realiach najbezpieczniejsza reakcja to samodzielne potwierdzenie sprawy innym kanałem: przez oficjalną infolinię banku, aplikację bankową, zapisany wcześniej numer bliskiej osoby, firmowy system zgłoszeniowy albo bezpośredni kontakt z działem IT.
Fałszywe inwestycje z celebrytami – najczęstszy scenariusz deepfake phishingu
Najbardziej widoczną formą deepfake phishingu w Polsce są fałszywe reklamy inwestycyjne. Użytkownik widzi w mediach społecznościowych materiał, który wygląda jak fragment programu informacyjnego, wywiadu albo reklamy. W nagraniu znana osoba rzekomo mówi o wyjątkowej okazji inwestycyjnej: kryptowalutach, akcjach, platformie tradingowej, surowcach, gazie, ropie, Orlenie, Baltic Pipe, sztucznej inteligencji albo „rządowym programie zysków”. Całość jest przygotowana tak, żeby wyglądała jak materiał z dużego medium.
NASK ostrzegał już w 2024 roku przed deepfake’ami wykorzystującymi wizerunki znanych Polaków. W materiałach wskazano m.in. fałszywe nagrania z wizerunkiem i podrobionym głosem Andrzeja Dudy, Izabeli Leszczyny, Roberta Lewandowskiego, Kamila Labuddy i Rafała Brzoski. NASK opisywał też technikę lip-sync, czyli dopasowanie ruchu ust do podstawionego tekstu, co zwiększa wiarygodność fałszywego nagrania.
Mechanizm takiego oszustwa jest prosty. Reklama prowadzi do fałszywej strony, formularza kontaktowego albo rozmowy z „opiekunem inwestycyjnym”. Ofiara zostawia numer telefonu, a potem odbiera telefony od osób podszywających się pod doradców. Dalej pojawia się presja: trzeba szybko wpłacić pierwszą kwotę, zainstalować aplikację, przesłać dokument, potwierdzić przelew albo umożliwić zdalny dostęp do komputera. Deepfake z celebrytą nie jest więc całym atakiem. Jest haczykiem wiarygodności, który ma sprawić, że użytkownik zrobi pierwszy krok.
Deepfake z Rafałem Brzoską i Omeną Mensah – dlaczego ta sprawa była ważna?
Jedną z najważniejszych polskich spraw dotyczących deepfake’ów były fałszywe reklamy wykorzystujące wizerunek Rafała Brzoski i Omeny Mensah. Prezes UODO zobowiązał spółkę Meta do wstrzymania na terytorium Polski wyświetlania przez trzy miesiące fałszywych reklam na Facebooku i Instagramie, które wykorzystywały prawdziwe dane oraz wizerunek tych osób. UODO wskazał, że wizerunek Rafała Brzoski, zmodyfikowany technologią deepfake, był używany w reklamach zachęcających do skorzystania z platform inwestycyjnych.
Ta sprawa jest ważna z dwóch powodów. Po pierwsze, pokazała, że deepfake phishing nie jest abstrakcyjnym problemem technologicznym, tylko realnym narzędziem wyłudzania pieniędzy od polskich użytkowników. Po drugie, ujawniła, jak trudna jest walka z fałszywymi reklamami w dużych platformach społecznościowych. Oszuści mogą szybko tworzyć kolejne warianty materiałów, zmieniać konta reklamowe, podstawiać nowe strony i wykorzystywać rozpoznawalne twarze do budowania zaufania.
Dla czytelnika wniosek jest praktyczny: sama obecność znanej osoby w reklamie nie jest żadnym dowodem wiarygodności inwestycji. Jeżeli materiał obiecuje szybki zysk, „tajny program”, gwarantowane dochody, rzekomą rekomendację banku, rządu lub znanego przedsiębiorcy, trzeba założyć wysokie ryzyko oszustwa. Prawdziwe inwestycje nie wymagają działania pod presją reklamy z Facebooka, a znane osoby bardzo często nie mają żadnego związku z kampanią, w której wykorzystano ich wizerunek.
Deepfake audio – głos dziecka, wnuczka albo przełożonego
Deepfake audio jest szczególnie niebezpieczny, bo głos działa na emocje szybciej niż tekst. W polskich realiach może wzmocnić znane od lat oszustwa „na wnuczka”, „na policjanta”, „na pracownika banku” albo „na członka rodziny w kłopotach”. Różnica polega na tym, że zamiast obcej osoby opowiadającej historię przez telefon, ofiara może usłyszeć głos przypominający kogoś bliskiego. To wystarczy, aby zwiększyć stres i obniżyć zdolność racjonalnej oceny sytuacji.
Scenariusz może wyglądać tak: rodzic odbiera telefon od „dziecka”, które mówi, że miało wypadek, zgubiło telefon, potrzebuje pieniędzy, nie może rozmawiać długo albo zaraz oddzwoni „policjant”. Inny wariant to wiadomość głosowa na komunikatorze: „mamo, to mój nowy numer, zapisz go, zaraz wyślę dane do przelewu”. Atak nie musi być perfekcyjny. Wystarczy hałas w tle, płacz, krótka wypowiedź i presja czasu.
Najprostsza metoda obrony to rodzinne hasło bezpieczeństwa. Nie musi być skomplikowane. Ważne, żeby nie wynikało z publicznych informacji i żeby znali je tylko najbliżsi. Jeżeli ktoś dzwoni z dramatyczną prośbą o pieniądze, trzeba zapytać o ustalone hasło albo rozłączyć się i oddzwonić na zapisany wcześniej numer. Nie należy kontynuować rozmowy na numerze podanym przez rozmówcę. To samo dotyczy komunikatorów: jeżeli „dziecko” pisze z nowego numeru i prosi o przelew, najpierw trzeba potwierdzić sprawę innym kanałem.
Deepfake phishing w firmach – oszustwo „na prezesa” w nowej wersji
W firmach deepfake phishing może wzmacniać ataki typu BEC, czyli oszustwa polegające na podszywaniu się pod osobę decyzyjną lub kontrahenta. W polskich organizacjach szczególnie narażone są księgowość, administracja, HR, działy zakupów, obsługa klienta, IT oraz osoby mające dostęp do płatności i danych. Atakujący może wysłać wiadomość udającą prezesa, a potem dołożyć do niej wiadomość głosową lub krótkie nagranie wideo, które ma przełamać opór pracownika.
Przykład: księgowa dostaje wiadomość od „szefa” z prośbą o pilny przelew do nowego kontrahenta. W mailu pojawia się informacja, że sprawa jest poufna, a dokumenty zostaną dosłane później. Po chwili przychodzi wiadomość głosowa, w której głos przypomina przełożonego. Pracownik nie ma czasu na sprawdzenie, bo rzekomo kończy się termin transakcji. Taki atak nie wymaga włamania do systemów firmy. Wystarczy dobrze przygotowana socjotechnika.
Obrona musi być proceduralna, a nie intuicyjna. Firma powinna mieć jasną zasadę: żadna prośba głosowa, SMS-owa, mailowa ani komunikatorowa nie może samodzielnie zatwierdzić przelewu, zmiany numeru rachunku, wysłania danych lub nadania dostępu. Wrażliwe operacje powinny wymagać potwierdzenia przez niezależny kanał, najlepiej w systemie firmowym, przez znany numer lub przez dwuosobową autoryzację. Jeżeli procedura działa tylko wtedy, gdy wszyscy są spokojni, to w praktyce nie działa.
Fałszywy konsultant banku i BLIK – polski scenariusz wysokiego ryzyka
Jednym z najbardziej niebezpiecznych scenariuszy dla polskich użytkowników jest telefon od osoby podszywającej się pod konsultanta banku. Deepfake może tu pełnić różne role. Czasem będzie to syntetyczny, profesjonalnie brzmiący głos. Czasem fałszywe nagranie „z działu bezpieczeństwa”. Czasem element większego oszustwa, w którym użytkownik najpierw widzi reklamę inwestycyjną, a później odbiera telefon od „doradcy” albo „pracownika banku”.
Schemat zwykle bazuje na strachu: ktoś próbuje włamać się na konto, trzeba zablokować transakcję, potwierdzić tożsamość, przenieść środki na „bezpieczne konto” albo zainstalować aplikację do ochrony rachunku. Oszust może prosić o kod BLIK, kod SMS, zatwierdzenie operacji w aplikacji, dane karty, login, hasło albo zdalny dostęp do telefonu lub komputera. W tym miejscu zasada jest jednoznaczna: bank nie potrzebuje Twojego hasła, kodu BLIK ani zdalnego dostępu, aby zabezpieczyć konto.
Jeżeli odbierasz taki telefon, rozłącz się i samodzielnie zadzwoń na oficjalną infolinię banku lub skontaktuj się przez aplikację bankową. Nie oddzwaniaj na numer podany przez rozmówcę i nie klikaj linków przesłanych SMS-em. Jeżeli doszło do podania danych lub wykonania przelewu, trzeba natychmiast skontaktować się z bankiem, zastrzec instrumenty płatnicze, zmienić hasła i zgłosić sprawę. Czas ma znaczenie, ale nie w taki sposób, jak sugeruje oszust. Najpierw przerwanie kontaktu, potem oficjalny kanał.
Czytaj również: Jak zastrzec PESEL? Zastrzeżenie PESEL krok po kroku
Deepfake phishing a smishing – gdy SMS prowadzi do fałszywego scenariusza
Deepfake phishing często nie zaczyna się od wideo ani głosu. Może zacząć się od SMS-a. W Polsce smishing jest bardzo popularnym kanałem oszustw, bo wiadomość na telefonie wydaje się szybka, osobista i pilna. Może udawać bank, firmę kurierską, urząd, operatora płatności, platformę sprzedażową albo członka rodziny. Dopiero po kliknięciu linku albo odpowiedzi na wiadomość ofiara zostaje wciągnięta w dalszy scenariusz, w którym pojawia się telefon, fałszywy konsultant lub nagranie.
CERT Polska w podsumowaniu marca 2026 roku podał, że w tym miesiącu otrzymał 62,6 tys. zgłoszeń i na ich podstawie zarejestrował 31 tys. incydentów bezpieczeństwa. Najczęstszą kategorią były oszustwa komputerowe, a wśród nich próby wyłudzania poufnych danych, czyli phishing. W marcu 2026 roku odnotowano 14,4 tys. takich incydentów.
To pokazuje szersze tło: deepfake phishing jest nową warstwą na istniejącej fali oszustw. Nie zastępuje SMS-ów, fałszywych domen, podrobionych paneli logowania czy telefonów od oszustów. On je wzmacnia. Dlatego użytkownik powinien traktować podejrzany SMS nie jako drobny spam, ale jako możliwy początek większego ataku. Szczególnie jeśli wiadomość prowadzi do płatności, logowania, instalacji aplikacji lub kontaktu z „konsultantem”.
Jak rozpoznać deepfake? Sygnały ostrzegawcze według NASK
Rozpoznanie deepfake’a nie zawsze jest łatwe, ale istnieją sygnały ostrzegawcze. NASK wyjaśnia, że deepfake to efekt wykorzystania sztucznej inteligencji do generowania obrazów lub dźwięków imitujących prawdziwe osoby. Może to być zmanipulowane wideo, w którym ktoś mówi coś, czego nigdy nie powiedział, albo fałszywe nagranie głosowe przypisujące wypowiedź konkretnej osobie. NASK wskazuje też, że takie materiały bywają używane do oszustw finansowych, dezinformacji i naruszania prywatności.
W materiale edukacyjnym NASK zwraca uwagę na kilka elementów: błędy w okolicy ust, nienaturalną mimikę, problemy z intonacją, brak płynności głosu, pułapki gramatyczne, niespójność mowy ciała z treścią oraz efekty maskujące nakładane na obraz. W innym materiale NASK podkreśla, że błędy generacyjne w obrazie mogą pomagać w identyfikacji fałszywych nagrań.
W praktyce nie należy jednak polegać wyłącznie na analizie obrazu. Oszustwo może być skuteczne nawet wtedy, gdy nagranie ma drobne błędy, bo ofiara działa pod presją. Najważniejsze pytania brzmią: czy ktoś prosi o pieniądze, dane, kod, instalację aplikacji albo zmianę procedury? Czy naciska na pilność? Czy prosi o poufność? Czy kontakt odbywa się przez nietypowy kanał? Jeżeli tak, trzeba przerwać rozmowę i potwierdzić sprawę niezależnie.
Jak nie dać się nabrać na fałszywe inwestycje z deepfake’ami?
Najważniejsza zasada: nie inwestuj pieniędzy na podstawie reklamy z mediów społecznościowych, nawet jeśli występuje w niej znana osoba. KNF ostrzega, że cyberprzestępcy publikują materiały wideo z rzekomymi gwarantowanymi szybkimi zyskami i wykorzystują do ich dystrybucji portale społecznościowe, takie jak Facebook czy Instagram. To oznacza, że użytkownik powinien traktować takie reklamy jako materiał wymagający bardzo ostrożnej weryfikacji, a nie jako rekomendację.
Czerwona lampka powinna zapalić się szczególnie wtedy, gdy reklama obiecuje „gwarantowany zysk”, „program tylko dla Polaków”, „tajną platformę”, „oficjalny projekt państwowy”, „inwestycję wspieraną przez znaną osobę” albo „okazję dostępną tylko dziś”. Oszuści często wykorzystują fałszywe komentarze, rzekome zrzuty ekranu z kont inwestycyjnych i spreparowane artykuły, aby stworzyć wrażenie masowego sukcesu.
Przed jakąkolwiek wpłatą trzeba sprawdzić, czy podmiot znajduje się w rejestrach KNF, czy ma licencję, czy nie widnieje na liście ostrzeżeń publicznych i czy strona nie podszywa się pod znaną markę. Nie należy instalować aplikacji do zdalnego pulpitu ani przekazywać dokumentów osobom poznanym przez reklamę. Jeżeli „doradca” namawia do szybkiej wpłaty, prosi o zdalny dostęp albo sugeruje przelew na prywatne konto, to nie jest inwestycja — to bardzo prawdopodobny scenariusz oszustwa.
Jak chronić rodzinę przed deepfake phishingiem?
Ochrona rodziny przed deepfake phishingiem powinna być prosta, bo w sytuacji stresowej nikt nie będzie analizował technologii syntezy mowy. Najlepszym rozwiązaniem jest ustalenie rodzinnego hasła bezpieczeństwa. Może to być krótkie zdanie, pytanie albo słowo, którego nie publikujemy w internecie i nie zdradzamy osobom trzecim. Jeżeli ktoś dzwoni z prośbą o pilną pomoc finansową, trzeba zapytać o hasło albo rozłączyć się i oddzwonić na zapisany numer.
Warto szczególnie porozmawiać z rodzicami, dziadkami i osobami mniej pewnie korzystającymi z bankowości online. Nie chodzi o straszenie sztuczną inteligencją, tylko o prostą instrukcję: jeśli ktoś mówi, że jest córką, synem, wnukiem, policjantem, lekarzem albo pracownikiem banku i prosi o pieniądze, najpierw przerwij rozmowę. Potem zadzwoń do bliskiej osoby na numer, który masz zapisany od dawna. Nie używaj numeru podanego w wiadomości.
Dobrą praktyką jest też ograniczanie publicznych materiałów głosowych i wideo dzieci oraz bliskich, jeśli nie ma potrzeby ich publikowania. Nie oznacza to usuwania całej obecności w sieci, ale warto pamiętać, że publiczne nagrania mogą być wykorzystane do budowania bardziej wiarygodnych oszustw. Im więcej informacji o rodzinie, zwyczajach, wakacjach, imionach i relacjach trafia do internetu, tym łatwiej przygotować scenariusz, który brzmi prawdopodobnie.
Jak chronić firmę przed deepfake phishingiem?
W firmie ochrona przed deepfake phishingiem musi być częścią procedur finansowych i bezpieczeństwa, a nie tylko prezentacją na szkoleniu. Najważniejsza zasada brzmi: głos, wideo, mail lub wiadomość na komunikatorze nie mogą samodzielnie zatwierdzać wrażliwych operacji. Dotyczy to przelewów, zmiany numeru rachunku kontrahenta, wysyłki danych osobowych, dostępu do systemów, resetu haseł i nadawania uprawnień.
Każda firma powinna mieć jasne progi akceptacji. Przelew powyżej określonej kwoty? Dwuosobowa autoryzacja. Zmiana rachunku bankowego dostawcy? Potwierdzenie przez niezależny kanał. Prośba od prezesa przez prywatny komunikator? Brak działania bez formalnego zgłoszenia. Telefon od „działu IT” z prośbą o kod MFA? Odmowa i kontakt z wewnętrznym helpdeskiem. To nie biurokracja, tylko ochrona przed sytuacją, w której pracownik zostaje sam z presją autorytetu.
Ważna jest też kultura organizacyjna. Pracownik musi wiedzieć, że ma prawo zatrzymać płatność, zadać pytanie i odmówić obejścia procedury, nawet jeśli wiadomość wygląda na polecenie od przełożonego. Jeżeli firma karze za ostrożność, sama tworzy warunki do udanego ataku. W szkoleniach warto używać polskich przykładów: fałszywy prezes, fałszywy kontrahent, zmiana rachunku, deepfake z wideokonferencji, SMS z linkiem do „dokumentu” i telefon od „banku”.
Gdzie zgłosić deepfake phishing?
Jeżeli widzisz podejrzany SMS, możesz przekazać go do CERT Polska na numer 8080. CERT Polska wskazuje, że zgodnie z ustawą o zwalczaniu nadużyć w komunikacji elektronicznej CSIRT NASK monitoruje smishing i tworzy wzorce wiadomości, które pozwalają blokować fałszywe SMS-y. W marcu 2026 roku, na podstawie wzorców wytworzonych przez CERT Polska, zablokowano łącznie 75,9 tys. SMS-ów.
Podejrzane strony, kampanie phishingowe i inne incydenty można zgłaszać przez formularz CERT Polska pod adresem incydent.cert.pl. Jeżeli oszustwo dotyczy banku, trzeba natychmiast skontaktować się z oficjalną infolinią banku lub użyć aplikacji bankowej. Jeżeli doszło do przelewu, podania danych lub przekazania dostępu, należy działać szybko: zastrzec kartę, zmienić hasła, wylogować aktywne sesje, zablokować bankowość, zgłosić transakcję i rozważyć zawiadomienie policji.
Jeżeli deepfake wykorzystuje Twój wizerunek, dane osobowe lub reputację, sprawa może dotyczyć także ochrony danych osobowych i dóbr osobistych. Przykład działań UODO wobec reklam z Rafałem Brzoską i Omeną Mensah pokazuje, że wizerunek użyty w deepfake’owych reklamach inwestycyjnych może być nie tylko problemem cyberbezpieczeństwa, ale też naruszeniem praw osoby, której dane i twarz wykorzystano bez zgody.
Najczęstsze błędy, które pomagają oszustom
Pierwszy błąd to wiara, że deepfake zawsze da się łatwo rozpoznać. W praktyce wiele oszustw nie wymaga perfekcyjnego nagrania. Wystarczy krótki komunikat, słaba jakość połączenia, stres i dobrze dobrana historia. Ofiara nie analizuje wtedy szczegółów obrazu. Reaguje na emocje, autorytet albo presję czasu. Dlatego pytanie „czy to wygląda prawdziwie?” jest mniej ważne niż pytanie „czy ktoś próbuje mnie skłonić do ryzykownego działania?”.
Drugi błąd to zaufanie do znanej twarzy w reklamie. Fałszywe materiały inwestycyjne wykorzystujące wizerunki znanych Polaków są projektowane tak, aby wyglądały jak fragmenty programów informacyjnych, wywiadów albo oficjalnych kampanii. Sama obecność znanej osoby nie potwierdza, że oferta jest prawdziwa. Przeciwnie — jeśli reklama obiecuje szybki zysk i wykorzystuje autorytet celebryty, polityka lub przedsiębiorcy, trzeba zachować szczególną ostrożność.
Trzeci błąd to działanie przez kanał wskazany przez oszusta. Jeśli ktoś wysyła link, numer telefonu, aplikację lub formularz, nie należy traktować ich jako bezpiecznych. Weryfikację trzeba przeprowadzić samodzielnie: wejść na oficjalną stronę banku, sprawdzić rejestry KNF, zadzwonić na zapisany numer bliskiej osoby, skontaktować się z firmowym IT albo wejść bezpośrednio do aplikacji bankowej. Deepfake phishing działa wtedy, gdy ofiara zostaje w ścieżce przygotowanej przez przestępcę.
Deepfake phishing – praktyczna checklista bezpieczeństwa
W praktyce warto przyjąć zasadę ograniczonego zaufania do każdej pilnej prośby o pieniądze, dane lub dostęp. Nie ma znaczenia, czy prośba przychodzi mailem, SMS-em, przez komunikator, telefon, reklamę, wideokonferencję czy nagranie głosowe. Jeżeli dotyczy finansów, logowania, dokumentów, kodów lub instalacji aplikacji, musi zostać zweryfikowana poza kanałem, w którym się pojawiła.
Najważniejsze zasady:
- nie inwestuj na podstawie reklamy z celebrytą lub politykiem;
- nie ufaj gwarantowanym zyskom i „okazjom tylko dziś”;
- nie podawaj kodów BLIK, haseł, PIN-ów ani kodów SMS;
- nie instaluj aplikacji z polecenia „doradcy”, „banku” lub „policjanta”;
- nie klikaj linków z SMS-ów prowadzących do płatności lub logowania;
- przy telefonie od „banku” rozłącz się i zadzwoń na oficjalną infolinię;
- przy wiadomości od „dziecka” z nowego numeru oddzwoń na stary numer;
- w firmie nie zatwierdzaj przelewów i zmian rachunków poza procedurą;
- zgłaszaj podejrzane SMS-y na numer 8080;
- zgłaszaj podejrzane strony i incydenty przez incydent.cert.pl.
Ta checklista nie wymaga specjalistycznej wiedzy o AI. Jej celem jest przerwanie automatycznej reakcji. Deepfake phishing jest skuteczny wtedy, gdy ofiara działa natychmiast. Każda pauza, każde oddzwonienie, każde sprawdzenie domeny i każda odmowa podania kodu zmniejszają szanse przestępcy.
Deepfake phishing – podsumowanie
Deepfake phishing w Polsce najczęściej łączy się dziś z fałszywymi inwestycjami, kradzieżą wizerunku znanych osób, oszustwami telefonicznymi, smishingiem, podszywaniem się pod banki oraz scenariuszami rodzinnymi i firmowymi. Nie jest to już wyłącznie techniczna manipulacja obrazem. To pełny model oszustwa, w którym AI zwiększa wiarygodność starej socjotechniki.
Najważniejsze jest to, aby nie traktować głosu, twarzy ani reklamy jako dowodu autentyczności. Znana osoba w nagraniu może być deepfake’iem. Głos dziecka może być podrobiony. Konsultant banku może być oszustem. Przełożony na komunikatorze może być fałszywym kontem. W czasach generatywnej AI bezpieczeństwo nie polega na tym, że „rozpoznam podróbkę”, ale na tym, że mam procedurę, która działa nawet wtedy, gdy podróbka wygląda wiarygodnie.
W polskich realiach podstawowe zasady są proste: nie działaj pod presją, nie klikaj podejrzanych linków, nie podawaj kodów, nie inwestuj z reklam w social mediach, sprawdzaj podmioty finansowe w KNF, zgłaszaj podejrzane SMS-y do CERT Polska i potwierdzaj pilne prośby niezależnym kanałem. To najskuteczniejsza ochrona przed oszustwem, w którym sztuczna inteligencja nie zastępuje przestępcy, ale pomaga mu brzmieć i wyglądać bardziej wiarygodnie.
Źródła:
- NASK – „Rośnie liczba oszustw deepfake wykorzystujących wizerunki znanych osób”
- NASK – „Usta, głos, treść, tło. Umiesz rozpoznać deepfake?”
- KNF / CEBRF – „Deepfake” i cyberoszustwa inwestycyjne
- UODO – sprawa fałszywych reklam z Rafałem Brzoską i Omeną Mensah
- CERT Polska – raport roczny 2025 oraz podsumowania miesięczne CERT Polska
Dziękujemy za przeczytanie artykułu na Techoteka.pl.
Publikujemy codziennie informacje o sztucznej inteligencji, nowych technologiach, IT oraz rozwoju agentów AI.
Obserwuj nas na Facebooku, aby nie przegapić kolejnych artykułów.
