Kiedy pracownik polskiego oddziału firmy SpectraCorp otrzymał polecenie od prezesa, nie przypuszczał, że może to być zaawansowane oszustwo wykorzystujące technologię deepfake. Ta nowa forma cyberzagrożenia, polegająca na tym, że oszust podszywa się pod autorytet prezesa i wykorzystuje jego wizerunek, doprowadziła firmę na skraj kryzysu, stawiając pod znakiem zapytania kwestie bezpieczeństwa danych. Zarząd stanął przed kluczowym pytaniem: co należy zmienić, aby w przyszłości firma była mniej podatna na takie manipulacje?
Jak w każdy poniedziałkowy poranek Jacek Krawczyk jechał kolejką podmiejską do pracy w Warszawie. Ze względu na korki był to najszybszy sposób na dotarcie do biura, tym bardziej że siedziba firmy, w której pracował, znajdowała się zaledwie pięć minut od stacji kolejowej. Słońce leniwie wychylało się ponad horyzont, a Jacek równie leniwie skrolował social media w swoim telefonie. Na LinkedInie zwrócił uwagę na post swojego szefa – widniało na nim zdjęcie z uśmiechniętą miną prezesa zrobione przed lotniskiem Chopina. Leciał dziś na spotkanie w centrali firmy w Londynie.
W SpectraCorp, w której pracuje Jacek, panowała od lat ustalona hierarchia. Decyzje zapadały niemal wyłącznie na szczycie, a tam dominował jeden człowiek – Damian Łempicki. Prezes, którego autorytet był niekwestionowany, trzymał firmę w silnym uścisku, kierując każdym strategicznym posunięciem. Reszta załogi, niezależnie od stanowiska, wykonywała jego polecenia bez zbędnych pytań. W tej kulturze lojalność i zaufanie do lidera były niepodważalne.
Tuż po przyjeździe do biura Jacek zauważył w swojej skrzynce pocztowej pilną wiadomość od prezesa. Mail był krótki, rzeczowy, napisany charakterystycznym, stanowczym tonem Łempickiego.
Jacek z lekkim zdziwieniem przeczytał wiadomość. Co prawda, jako szef działu finansów zajmował się obsługą i autoryzacją wszystkich operacji finansowych firmy, w tym i przelewami. Ale nagłe przelewy tej skali były jednak rzadkością i zazwyczaj wymagały dwuosobowej autoryzacji. I co to za ważna inwestycja, że prezes postanowił skontaktować się z nim tuż przed wylotem do Londynu? Nigdy wcześniej nie był tak zaskakiwany.
Jego rozważania przerwał sygnał komunikatora zwiastujący zaproszenie na rozmowę wideo. Na ekranie pojawiła się twarz Damiana Łempickiego. Obraz był nieco rozpikselowany, przez co nie widział prezesa wyraźnie. Ale to nie wzbudziło podejrzeń Jacka, który wiedział, że szef łączy się z nim w podróży.
– Dzień dobry, panie prezesie. Przyznam, ze zaskoczył mnie pan tym przelewem – rozpoczął Jacek.
– Mnie też zaskoczyło tempo wydarzeń, ale mamy wyjątkową okazję do zrealizowania bardzo intratnej inwestycji, lecz wymaga to szybkiego działania. Dlatego musimy przelać pięćset tysięcy złotych na konto, które wysłałem ci mailem, jeszcze dzisiaj – odparł Łempicki.
– To bardzo duża kwota. Czy nie może to poczekać do pana powrotu? – odparł Jacek.
– Niestety, nie. To ważna inwestycja dla naszej firmy, a czas działa na naszą niekorzyść. Musimy działać szybko, aby nie stracić tej okazji.
– OK, czyli potwierdza pan autoryzację przelewu? – dopytywał Jacek.
– Tak, skontaktuj się z naszym bankiem i zleć przelew. Pamiętaj, że to bardzo wrażliwa sprawa i musi być wykonana dyskretnie – odpowiedział prezes.
– Dobrze, zaraz to zrobię, ale… – zawahał się Jacek. Zanim jednak zdążył dokończyć zdanie, przerwał mu Łempicki.
– Świetnie, działamy! Muszę kończyć, bo kończy się boarding – prezes się rozłączył.
Przed zleceniem przelewu Jacek zgodnie z zasadami sięgnął po telefon w celu potwierdzenia złożonego zlecenia, jednak po drugiej stronie słuchawki usłyszał jedynie dźwięk sygnalizujący brak połączenia. Pomyślał, że szef musi być już w samolocie. Pracownik nie chciał narazić się na niezadowolenie przełożonego, więc niezwłocznie zlecił przelew. Kilka minut później otrzymał potwierdzenie z banku, że transakcja została zrealizowana.
Realny przelew, nierealne oczekiwania
Dwa dni później, gdy prezes wrócił do biura, prawda wyszła na jaw. Damian Łempicki wszedł do gabinetu Jacka wyraźnie zaniepokojony.
– Czy możesz mi wyjaśnić, w jaki sposób z naszego firmowego konta zniknęło pół miliona złotych?! Jacek zamarł.
– Ale… przecież to pan kazał mi wykonać ten przelew w poniedziałek rano. Dostałem maila i zaraz po naszej rozmowie przelałem pieniądze. Łempicki zmarszczył brwi.
– Nie przypominam sobie, abym wysyłał w poniedziałek do ciebie jakiegokolwiek maila, a tym bardziej z tobą nie rozmawiałem. Wylatywałem rano do Londynu i przez kilka godzin nie miałem dostępu do internetu, o czym z resztą wiedziałeś! – mówił oburzony.
Jacek poczuł, jak zimny pot spływa mu po plecach. Sytuacja stawała się coraz bardziej niepokojąca. Przecież widział prezesa na ekranie, słyszał jego głos – wszystko wydawało się realne. Czy to możliwe, że został oszukany?
Łempicki, choć bez przekonania, dał się namówić, żeby dział IT sprawdził jego skrzynkę i połączenia na Teamsach. Rozpoczęło się śledztwo. Informatycy natychmiast zabrali się do pracy, przeszukując logi serwerów, analizując maile i sprawdzając systemy zabezpieczeń.
Okazało się, że firma padła ofiarą zaawansowanego oszustwa z użyciem technologii deepfake. Hakerzy wykorzystali sztuczną inteligencję, by podszyć się pod prezesa, i stworzyli realistyczne nagranie wideo oraz wysłali fałszywe maile, które wyglądały bardzo autentycznie.
W firmie huczało. Podczas gdy zespół IT przeprowadzał analizę, pozostali pracownicy googlowali hasło „deepfake” i konsultowali sytuację z kolegami i koleżankami z branży. Odkryli, że w przeciągu ostatnich kilku tygodni ofiarami tego typu oszustwa padło kilkadziesiąt firm na całym świecie – a przynajmniej o tylu pisano w mediach. Nagłówki gazet pełne były doniesień o przedsiębiorstwach, które straciły miliony przez podobne oszustwa. Prezesa nie przekonywały jednak doniesienia prasowe wskazujące na coraz częstsze ataki cyberprzestępców na firmy.
– To nie jest usprawiedliwienie! – grzmiał Łempicki i z pełną stanowczością. Dodał, że firma nie może sobie pozwolić na takie błędy. W jego oczach jedyną osobą winną za taki obrót sytuacji był nie kto inny jak Jacek, który jego zdaniem, jako osoba odpowiedzialna za finanse firmy, powinien przewidzieć takie zagrożenia i im zapobiec.
Przeczytaj artykuł i dowiedz się, jak zakończyła się ta historia.
Przeczytaj komentarz eksperta.
