AI phishing i deepfakeovi nadmašuju korporativne obrane u anketi za 2025.

AI phishing i deepfakeovi nadmašuju korporativne obrane u anketi za 2025.

Nova anketa provedena među 3 500 poslovnih čelnika prikazuje proturječnu sliku korporativne kibernetičke sigurnosti: 82% ispitanika smatra da su pripremljeni za suvremene prijetnje, no napadi temeljeni na umjetnoj inteligenciji — uključujući kloniranje glasa, deepfake slike i AI-generirani phishing — razvijaju se brže od organizacija osmišljenih da ih zaustave. Jaz između percipirane spremnosti i stvarne izloženosti upravo je ono mjesto na kojemu napadači napreduju, a pojedinci su sve češće uhvaćeni u unakrsnu vatru.

Za svakodnevne korisnike nalazi ankete predstavljaju praktično upozorenje. Kada se obrane na razini poduzeća muče pratiti korak s AI phishingom i deepfake socijalnim inženjeringom, pojedinci koji koriste osobne uređaje, kućne mreže i potrošačke račune e-pošte suočavaju se s istim prijetnjama uz znatno manje zaštite.

Kako AI-generirani phishing i kloniranje glasa djeluju protiv svakodnevnih korisnika

Tradicionalni phishing oslanjao se na očite pokazatelje: gramatičke pogreške, sumnjive adrese pošiljatelja i generične pozdrave. AI-generirani phishing uklanja većinu tih znakova. Koristeći velike jezične modele, napadači sada mogu sastavljati visoko personalizirane poruke koje se pozivaju na stvarne detalje o meti — njihovom poslodavcu, nedavnim kupnjama ili javno vidljivim aktivnostima — sve prikupljeno i sastavljeno automatski.

Kloniranje glasa dodaje još jedan sloj. S tek nekoliko sekundi zvučnog zapisa, komercijalno dostupni alati mogu reproducirati nečiji glas dovoljno uvjerljivo da prevare članove obitelji, kolege ili financijske institucije. Lažni poziv koji zvuči kao poziv poslovnog direktora koji traži od zaposlenika da izvrši prijenos sredstava, ili klonirani glas člana obitelji koji tvrdi da je u nevolji, predstavlja sposobnost socijalnog inženjeringa koju nijedan filtar neželjene pošte ni skener e-pošte nije u stanju prepoznati.

Iznimno uvjerljivi video deepfakeovi slijede istu logiku. Koriste se za lažno predstavljanje autoritativnih osoba na videopozivima, fabriciranje dokaza o događajima koji se nikada nisu dogodili i manipuliranje metama kako bi odali vjerodajnice ili odobrili pristup. Zajedno, ove tehnike predstavljaju pomak od oportunističkog phishinga prema precizno ciljanom prikupljanju vjerodajnica.

Zašto se tradicionalni sigurnosni alati muče zaustaviti AI-driven socijalni inženjering

Većina korporativnih sigurnosnih alata osmišljena je oko drugačijeg modela prijetnji: zlonamjernih datoteka, kompromitiranih URL-ova i mrežnih upada. AI-driven socijalni inženjering zaobilazi sve tri kategorije. Nema zlonamjernog privitka za označavanje, nema sumnjive domene za blokiranje i nema mrežne anomalije za otkrivanje. Napad u potpunosti živi u ljudskoj percepciji.

To je temeljni razlog zašto se korporativne obrane muče čak i kada su sigurnosni proračuni znatni. Obuka o sigurnosnoj svijesti uči zaposlenike da traže tradicionalne znakove upozorenja koje AI-generirani napadi sada pouzdano izbjegavaju. Čak i tehnička kontrola poput višefaktorske autentifikacije, iako i dalje vrijedna, može biti zaobiđena kada je meta prevarena da preda jednokratni kôd tijekom poziva s kloniranim glasom.

Koncept "shadow AI" dodatno pogoršava ovaj problem. Zaposlenici koji koriste neovlaštene AI alate unutar korporativnih okruženja stvaraju rizike izloženosti podataka koje sigurnosni timovi često ne mogu nadzirati niti kontrolirati. Osjetljivi dokumenti koji se unose u osobne AI asistente, na primjer, mogu nehotice izgraditi upravo one skupove podataka koji ciljani phishing čine uvjerljivijim.

Razumijevanje načina na koji se AI već koristi za profiliranje i ciljanje pojedinaca ključna je polazna točka. Vodič AI-Powered Surveillance: What You Need to Know in 2026 nudi važan kontekst o tome kako agregacija osobnih podataka omogućuje vrstu preciznog ciljanja koja ove napade čini toliko učinkovitima.

Gdje VPN-ovi i enkripcija odgovaraju vašoj obrani od krađe vjerodajnica

VPN-ovi i enkripcija ne sprječavaju deepfake video od toga da bude uvjerljiv. Ono što čine jest smanjivanje površine napada koja hrani proces ciljanja i zaštita vaših vjerodajnica ako napad djelomično uspije.

Napadi prikupljanja vjerodajnica često počinju pasivnim prikupljanjem podataka: presretanjem nekriptiranog prometa na javnim ili kućnim mrežama, hvatanjem sesija prijave na nezaštićenim vezama ili praćenjem ponašanja pregledavanja radi identifikacije usluga koje meta koristi. VPN kriptira promet između vašeg uređaja i šireg interneta, uklanjajući najlakše točke presretanja iz tog lanca.

Enkripcija je važna i u mirovanju. Upravitelji lozinkama s jakom enkripcijom osiguravaju da čak i ako phishing napad zabilježi jednu vjerodajnicu, to ne kaskadira u pristup svim uslugama koje koristite. U kombinaciji s višefaktorskom autentifikacijom na računima koji je podržavaju, kriptirana pohrana vjerodajnica smisleno povećava cijenu uspješnog napada.

Za radnike na daljinu koji se spajaju na korporativne sustave, korištenje VPN-a još je izravnije relevantno. Mnoge kampanje prikupljanja vjerodajnica ciljaju trenutak autentifikacije, a kriptirani tunel taj trenutak čini znatno težim za nadzor izvana.

Praktični koraci koje korisnici svjesni privatnosti mogu poduzeti odmah

Nalazi ankete sugeriraju da čekanje da organizacije ovaj problem riješe odozgo prema dolje nije pouzdana strategija. Evo konkretnih koraka koje pojedinci mogu poduzeti:

Provjerite kojim su podacima o vama javno dostupni. AI-generirani phishing oslanja se na javne izvore: profile na društvenim mrežama, profesionalne imenike, baze podataka brokera podataka. Smanjivanje vašeg javnog otiska ograničava sirovine dostupne za personalizirane napade. Pregledajte postavke privatnosti na društvenim platformama i razmislite o slanju zahtjeva za odjavu glavnim stranicama brokera podataka.

Budite skeptični prema neočekivanoj hitnosti putem bilo kojeg kanala. Napadi kloniranjem glasa i deepfakeovima gotovo uvijek stvaraju vremenski pritisak: direktor koji treba bankovni transfer odmah, član obitelji kojemu je odmah potrebna pomoć. Uspostavite osobni protokol provjere — kao što je povratni poziv na broj koji već imate sačuvan — umjesto da vjerujete broju ili kanalu koji je inicirao kontakt.

Koristite VPN na svim mrežama, ne samo na javnom Wi-Fiju. Kućne mreže sve su više na meti jer je rad na daljinu učinio od njih vjerodostojan ulaznu točku u korporativne sustave. Dosljedno kriptiranje vašeg prometa zatvara vektor presretanja koji većina korisnika ostavlja otvorenim.

Omogućite autentifikaciju otpornu na phishing gdje je dostupna. Hardverski sigurnosni ključevi i pristupni ključevi (passkeys) znatno su teže poraziti putem socijalnog inženjeringa nego tradicionalni jednokratni kodovi jer ne proizvode vrijednost koju napadač može prenijeti u stvarnom vremenu.

Ostanite informirani o tome kako AI profiliranje funkcionira. Što bolje razumijete kako se vaše digitalno ponašanje agregira i analizira, to ste bolje opremljeni za prepoznavanje situacija kada je nešto osmišljeno da se osjeća osobno i hitno možda konstruirano algoritmički. Vodič o AI-Powered Surveillance praktičan je resurs za izgradnju tog razumijevanja.

Podaci ankete za 2025. podsjetnik su da jaz u povjerenju u kibernetičkoj sigurnosti nije samo korporativni problem. Kada se AI phishing i deepfake napadi razvijaju brže od korporativnih obrana, pojedinci moraju biti aktivni sudionici u vlastitoj sigurnosti, a ne pasivni korisnici sustava koji, prema dokazima, teško prate korak. Provjera vaše osobne izloženosti prijetnjama sada — prije nego što uvjerljiv glasovni poziv ili savršeno formulirana poruka testira vaše obrane — najučinkovitiji je potez koji možete napraviti.