Cyberprzestępcy klonują głos Twojego prezesa, dzwonią do działu finansów i proszą o przelew. Najdroższy element całego ataku to abonament ChatGPT za 20 dolarów miesięcznie.

Już w 2019 roku AI sklonowało głos wystarczająco dobrze, żeby CEO firmy energetycznej przelał 220 000 euro po jednej rozmowie telefonicznej. Szef, pod którego głos podszył się atakujący, siedział w tym czasie na urlopie i nie wiedział, że właśnie do kogoś dzwoni.

Dziś to samo zajmuje 3 sekundy nagrania z wideokonferencji, publicznego wywiadu albo nagrania ze spotkania. Ataki AI na firmy nie wyglądają jak w filmach. Nie ma tu hakera w kapturze i zielonego kodu lecącego po ekranie. Jest mail z podpisem "Pozdrawiam, Prezes".

Według raportu FBI IC3 z 2025 roku, ataki BEC, czyli oszustwa z podszywaniem się pod prezesów i kontrahentów, wygenerowały 3 miliardy dolarów strat. Ponad 22 000 zgłoszeń dotyczyło ataków z potwierdzonym udziałem AI, wartych łącznie 893 miliony dolarów. To tylko przypadki, gdzie ofiara wiedziała, że użyto AI. Reszta przeszła jako normalny mail od prezesa.

Poniżej opisuję trzy wektory ataków i jedną zasadę, która je zatrzymuje lepiej niż oprogramowanie.

Jak wygląda atak BEC z AI — od maila do przelewu w 48 godzin

Pracownik działu finansów dostaje maila od prezesa. Treść: pilna sprawa, przelew do nowego kontrahenta, nie omawiaj z nikim, sprawa poufna. Mail jest krótki, pilny i podkreśla poufność. To są trzy cechy, które w normalnej komunikacji firmowej każą zatrzymać się i zapytać. W sytuacji ataku te trzy cechy sprawiają, że nikt nie pyta.

Mail wygląda dobrze, bo AI napisał go na podstawie poprzednich wiadomości prezesa i jego profilu publicznego. Styl jest właściwy. Interpunkcja jest właściwa. Błędy ortograficzne są nieobecne, co samo w sobie powinno być podejrzane, ale nikt z tego nie wyciąga wniosków. Twój prezes stał się wzorcem treningowym dla ataku na Twoją firmę i nie musiał w tym celu robić nic szczególnego poza byciem aktywnym zawodowo.

Pracownik dzwoni, żeby zweryfikować. Odbiera klon głosu. Głos brzmi jak prezes. Przelew zostaje potwierdzony. Mechanizm weryfikacji właśnie się obrócił przeciwko firmie. Nie dlatego, że pracownik był nieuwazny, ale dlatego, że zrobił dokładnie to, co powinien: zadzwonił, żeby sprawdzić. Weryfikacja przez telefon zadziałała perfekcyjnie. Perfekcyjnie potwierdziła fałszywy przelew.

Cały atak może przeprowadzić jedna osoba w ciągu jednego dnia roboczego. Nie potrzeba programisty. Nie potrzeba włamania do żadnego systemu. Potrzeba konta w narzędziu do klonowania głosu, konta ChatGPT i cierpliwości, żeby poczekać, aż nikt w dziale finansów nie zapyta o drugą opinię.

Fałszywe faktury i zmiana rachunku — atak, który wygląda jak nudny mail

Nie wszystkie ataki są spektakularne. Część z nich wygląda tak: dostajesz maila od dostawcy, z którym współpracujesz od lat. Informuje o zmianie numeru rachunku bankowego. Prosi o zaktualizowanie danych w systemie. "Drogi Panie, informuję o zmianie numeru konta. Proszę o aktualizację w systemie. Pozdrawiam." Ten mail wygeneruje więcej pieniędzy niż niejeden biznes plan.

"Zmiana rachunku bankowego kontrahenta" to jeden z najskuteczniejszych scenariuszy BEC. Nie wymaga AI. Nie wymaga klonowania głosu. Wymaga jednego maila, który wygląda jak każdy inny mail od tego nadawcy. Firma, która zaktualizuje dane bez fizycznej weryfikacji z dostawcą przez znany numer z umowy, przeleje pieniądze. Tylko nie na właściwe konto.

AI wchodzi tu jako narzędzie personalizacji na skalę. Zamiast jednego maila do jednej firmy atakujący wysyła 500 spersonalizowanych maili do 500 firm, każdy napisany w stylu odpowiednim dla danego odbiorcy, z referencjami do prawdziwych projektów i nazwiskami prawdziwych osób z organizacji. Jak rozpoznać fałszywe maile z AI — tam opisuję sygnały ostrzegawcze, które zwykle są niewidoczne, dopóki ktoś nie wskaże, gdzie patrzeć.

Klasyczny atak fakturowy trwa krócej niż rozmowa kwalifikacyjna i jest trudniejszy do wykrycia. To dlatego jest najpopularniejszy.

Deepfake głosu i wideo — kiedy głos prezesa nic nie gwarantuje

Andrea Piacquadio / Pexels

Deepfake audio w 2026 roku to 3 sekundy nagrania. Nagranie z konferencji, wywiadu, nagrania szkoleniowego albo filmiku na LinkedIn. Atakujący nie potrzebuje Twojej zgody na nagranie. Potrzebuje nagrania. I nie musi o nie prosić.

Według badania ESET z 2025 roku, tylko 42% pracowników wie, czym jest deepfake. Pozostałe 58% nie rozpozna ataku, który w nich celuje. Szkolenie z cyberbezpieczeństwa, które pracownik obejrzał rok temu, kliknął "ukończono" i wrócił do maili, nie jest tym samym co umiejętność rozpoznania klonu głosu w czasie rozmowy.

Schemat z deepfake wideo jest prostszy, niż wygląda. Atakujący umawia spotkanie przez wideorozmowę. Puszcza gotowe nagranie zamiast się połączyć. Pyta o pilną decyzję finansową. Wideo wygląda dobrze, dźwięk wygląda dobrze. Decyzja zapada. O tym, jak klonowanie głosu działa od środka i jak brzmi w praktyce, pisałem osobno: vishing i klonowanie głosu AI.

Deepfake wideo trafiło też do rekrutacji, gdzie cel jest inny: nie pieniądze, tylko dostęp do systemów firmowych. To oddzielna historia, bo mechanizmy obrony są inne: deepfake w rekrutacji.

Wniosek jest niekomfortowy, ale prosty: głos i twarz nie są już dowodem tożsamości. Były nim przez całe Twoje zawodowe życie. Przestały być nim jakiś czas temu, i nikt nie wysłał żadnego komunikatu o tej zmianie.

Co naprawdę chroni firmę — procedury, nie oprogramowanie

Mikhail Nilov / Pexels

Oprogramowanie do wykrywania deepfake istnieje. Nie zawsze działa. Zmienia się szybciej niż reguły, które stosuje. Firma, która płaci za oprogramowanie do wykrywania deepfake i nie ma procedury weryfikacji poza kanałem ataku, jest jak dom z alarmem bez zamka w drzwiach. Jedyną obroną, której AI nie potrafi zinfiltrować, jest procedura wymagająca działania człowieka przez kanał, który atakujący nie kontroluje.

Weryfikacja poza kanałem brzmi technicznie. Znaczy tylko tyle: jeśli prośba przyszła mailem, weryfikujesz telefonicznie pod numer z umowy, nie z maila. Jeśli przyszła przez telefon, weryfikujesz przez wewnętrzny system albo osobiście. CERT Polska prowadzi zasoby do szkolenia firm z procedur reagowania na ataki socjotechniczne. Warto zacząć stamtąd, zanim zdecydujesz się na zewnętrzną firmę szkoleniową.

Podwójna autoryzacja płatności powyżej ustalonego progu to najskuteczniejsza pojedyncza procedura przeciwko CEO fraud. Atak, który napotyka dwóch zatwierdzających, ma problem. Nie dlatego, że druga osoba jest mądrzejsza, ale dlatego, że dwie osoby pod presją pilności są trudniejsze do zsynchronizowania niż jedna.

Kultura organizacyjna jest tu ważniejsza niż technologia. Pracownik, który boi się zakwestionować polecenie prezesa, jest podatny na atak niezależnie od zainstalowanego oprogramowania. Pracownik, który wie, że może zatrzymać podejrzaną płatność bez konsekwencji, jest najlepszą ochroną, jaką firma może mieć. Kosztuje tyle co jedna rozmowa podczas onboardingu.

Słowo kodowe dla pilnych transakcji finansowych nie jest pomysłem z powieści szpiegowskiej. Jest procedurą, którą firmy wdrażają po pierwszym ataku. Lepiej ją mieć przed nim. Słowo, które zna prezes i dyrektor finansowy, i które musi paść przy każdej pilnej prośbie o przelew poza standardową procedurą, jest nie do podrobienia. Atakujący nie znajdzie go na żadnym profilu w mediach społecznościowych ani w nagraniach z konferencji.