{"id":9164,"date":"2025-03-19T08:00:00","date_gmt":"2025-03-19T07:00:00","guid":{"rendered":"https:\/\/haimagazine.com\/?p=9164"},"modified":"2025-06-26T09:56:42","modified_gmt":"2025-06-26T07:56:42","slug":"deepfake-pishing-wnuczek-2-0","status":"publish","type":"post","link":"https:\/\/haimagazine.com\/pl\/narzedzia\/tutoriale-pl\/deepfake-pishing-wnuczek-2-0\/","title":{"rendered":"ZmAIstruj sobie apk\u0119, czyli jak wykiwa\u0107 wnuczka 2.0"},"content":{"rendered":"

Phishing, vishing, spoofing* \u2013 te poj\u0119cia na sta\u0142e zakorzeni\u0142y si\u0119 w naszej nie tylko biznesowej (ataki hakerskie na firmy czy instytucje pa\u0144stwowe), ale i prywatnej (metoda na konsultanta czy policjanta) rzeczywisto\u015bci. <\/p>

Mimo edukacji i wynikaj\u0105cej z niej rosn\u0105cej wiedzy na temat wymienionych wy\u017cej przest\u0119pczych praktyk, nadal wiele firm i os\u00f3b pada ofiar\u0105 oszustw<\/mark><\/a>. Mamy do dyspozycji coraz lepsze zabezpieczenia, lecz i przest\u0119pcy stosuj\u0105 coraz bardziej wyrafinowane sztuczki, by dobra\u0107 si\u0119 do naszych pieni\u0119dzy i danych. Upowszechnianie si\u0119 narz\u0119dzi AI oznacza, \u017ce obie strony zyska\u0142y pot\u0119\u017cnego sojusznika.<\/p>

Ale cyberoszustwa to nie tylko skomplikowane operacje. To r\u00f3wnie\u017c telefon z pozornie znajomym g\u0142osem: \u201eMamo, mia\u0142em st\u0142uczk\u0119, musisz mi przela\u0107 pieni\u0105dze, \u017cebym unikn\u0105\u0142 zg\u0142oszenia na policj\u0119<\/em>\u201d. Podszywanie si\u0119 pod cz\u0142onk\u00f3w rodziny to technika, kt\u00f3r\u0105 oszu\u015bci stosuj\u0105 od lat. Jednak nowoczesne narz\u0119dzia AI, takie jak klonowanie g\u0142osu i deepfake audio sprawiaj\u0105, \u017ce rozpoznanie fa\u0142szerstwa stanie si\u0119 coraz trudniejsze. Oszu\u015bci nie musz\u0105 ju\u017c przechwytywa\u0107 hase\u0142 czy instalowa\u0107 z\u0142o\u015bliwego oprogramowania \u2013 wystarczy im kilka sekund nagrania g\u0142osu danej osoby. A takie mo\u017cna znale\u017a\u0107 w mediach spo\u0142eczno\u015bciowych lub wy\u0142udzi\u0107 w trakcie pozornie niewinnej\u00a0rozmowy telefonicznej. Co istotne \u2013 jako\u015b\u0107 nagra\u0144, kt\u00f3re pos\u0142u\u017c\u0105 oszustowi do sklonowania g\u0142osu, nie musi by\u0107 idealna. W stresie \u2014 a przecie\u017c taki mo\u017ce zosta\u0107 wywo\u0142any informacj\u0105 o wypadku \u2014 mo\u017cemy w og\u00f3le nie zwraca\u0107 uwagi na drobne odst\u0119pstwa od normy. Upiorna wizja z filmu Johnny Mnemonic (1995) przestaje by\u0107 tak abstrakcyjna.<\/p>

\"\" \"\" \"\"
Cz\u0142onek Yakuzy animuje nie\u017cyj\u0105cego ju\u017c recepcjonist\u0119 Pharmakomu
\u0179r\u00f3d\u0142o: Johnny Mnemonic, TriStar Pictures<\/p>

Jak chroni\u0107 cz\u0142onk\u00f3w rodziny przed takimi sytuacjami? <\/strong><\/h4>

Jednym ze sposob\u00f3w jest ustalenie unikalnego has\u0142a, kt\u00f3re w przypadku nietypowej sytuacji b\u0119dzie mo\u017cna wykorzysta\u0107 do potwierdzenia to\u017csamo\u015bci rozm\u00f3wcy. Ale jak to z has\u0142ami bywa \u2013 pami\u0119\u0107 jest zawodna, zw\u0142aszcza w stresuj\u0105cych sytuacjach. Wspom\u00f3c nas w tym mo\u017ce domowej roboty aplikacja.<\/p>

Artyku\u0142 jest jednym z tutoriali pt. \u201cZm(AI)struj sobie Apk\u0119\u201d<\/strong>, kt\u00f3re ukazuj\u0105 si\u0119 na portalu hAImagazine.com. Pokazuj\u0119 w nich, jak za pomoc\u0105 AI mo\u017cna budowa\u0107 \u201ema\u0142e aplikacje, kt\u00f3re rozwi\u0105zuj\u0105 ma\u0142e problemy\u201d. Jednocze\u015bnie opowiadam, w jaki spos\u00f3b planowa\u0107 prac\u0119 przy takich projektach i wybiera\u0107 odpowiednie narz\u0119dzia, a przy okazji ods\u0142aniam troch\u0119 tajniki kuchni deweloperskiej. Prezentowane prompty nie daj\u0105 100% gwarancji, \u017ce aplikacja zawsze zadzia\u0142a, bowiem to samo zapytanie za ka\u017cdym razem daje odmienny kod. Dlatego aplikacj\u0119 nale\u017cy testowa\u0107 i zg\u0142asza\u0107 modelowi b\u0142\u0119dy do poprawy. I traktowa\u0107 ca\u0142o\u015b\u0107 jako nauk\u0119 przez zabaw\u0119.<\/td><\/tr><\/tbody><\/table><\/figure>

Etap 1<\/strong><\/h4>

W pierwszej wersji aplikacji postanowi\u0142em zaimplementowa\u0107 tylko kluczowe funkcjonalno\u015bci. To dobry spos\u00f3b na szybk\u0105 weryfikacj\u0119 za\u0142o\u017ce\u0144, ale te\u017c okazja do przetestowania aplikacji z osobami z rodziny i zbierania feedbacku. Po kod zg\u0142osi\u0142em si\u0119 do modelu Claude (wersja 3.5 Sonet) z nast\u0119puj\u0105cym promptem:<\/p>

Napisz aplikacj\u0119 w technologii PWA, kt\u00f3ra b\u0119dzie spe\u0142nia\u0142a za\u0142o\u017cenia:

1. aplikacja zoptymalizowana do wy\u015bwietlania na urz\u0105dzeniach mobilnych,
2. w g\u00f3rnej cz\u0119\u015bci ekranu aplikacja wy\u015bwietla has\u0142o alfanumeryczne ustalone mi\u0119dzy cz\u0142onkami rodziny; has\u0142o pobierane jest z pliku pass.json z g\u0142\u00f3wnego katalogu aplikacji,
3. poni\u017cej has\u0142a znajduj\u0105 si\u0119 avatary 4 cz\u0142onk\u00f3w rodziny (mama, tata, brat, siostra) - u\u0142o\u017cone w matrycy 2x2, wszystkie elementy widoczne s\u0105 bez przewijania ekranu,
4. klikni\u0119cie w avatar wybiera natywnie po\u0142\u0105czenie z numerem telefonicznym do niego przypisanym; numer telefonu pobierany jest z pliku tel.json.

Przygotuj osobno wszystkie potrzebne pliki i zaproponuj struktur\u0119 plik\u00f3w .json do zapisania w g\u0142\u00f3wnym katalogu aplikacji. Po zainstalowaniu na telefonie aplikacja ma dzia\u0142a\u0107 tylko w trybie offline, bez po\u0142\u0105czenia z serwerem.<\/code><\/td><\/tr><\/tbody><\/table><\/figure>

Claude zaproponowa\u0142 struktur\u0119 plik\u00f3w, kt\u00f3r\u0105 widzisz na zdj\u0119ciu kilka linijek ni\u017cej. Liczb\u0119 cz\u0142onk\u00f3w rodziny i ich avatary oczywi\u015bcie mo\u017cesz dowolnie konfigurowa\u0107. Z kolei zapisanie danych w plikach .json pozwala na ich szybk\u0105 aktualizacj\u0119 w przysz\u0142o\u015bci, bez grzebania w kodzie aplikacji.<\/p>

\"\"<\/p>

Po wygenerowaniu kodu wgra\u0142em go na serwer wraz z wcze\u015bniej przygotowanymi ikonami oraz plikami .json, kt\u00f3re zawiera\u0142y dane wra\u017cliwe. Ostatnim krokiem by\u0142o wywo\u0142anie w przegl\u0105darce Safari domeny www, pod kt\u00f3r\u0105 napisa\u0142em aplikacj\u0119 i zainstalowanie tej\u017ce aplikacji jej na pulpicie telefonu. Jednocze\u015bnie do test\u00f3w wy\u0142\u0105czy\u0142em dost\u0119p do internetu by si\u0119 upewni\u0107, \u017ce wszystko b\u0119dzie dzia\u0142a\u0107 offline.<\/p>

O tym, dlaczego aplikacja jest tworzona w technologi PWA pisz\u0119 w tym tutorialu<\/mark><\/a>. Oczwi\u015bcie ca\u0142o\u015b\u0107 mo\u017cna uruchomi\u0107 sobie lokalnie na laptopie (Claude wyja\u015bni dok\u0142adnie jak to zrobi\u0107). W takim jednak przypadku, w celu zainstalowania aplikacji na telefonach domownik\u00f3w, trzeba b\u0119dzie pojecha\u0107 do ich z wizyt\u0105. Umieszczenie aplikacji na serwerze pozwala na zrobienie tego zdalnie.<\/td><\/tr><\/tbody><\/table><\/figure>

\"\"<\/p>

Na g\u00f3rze ekranu widnieje has\u0142o (tu: has\u0142o na dzi\u015b), a wybranie avatara wywo\u0142uje po\u0142\u0105czenie z konkretn\u0105 osob\u0105. Has\u0142o mo\u017cna wybra\u0107 na tyle proste, by \u0142atwiej je by\u0142o zapami\u0119ta\u0107 osobom starszym (np. imiona zwierz\u0105t czy nazwy miast zwi\u0105zane z histori\u0105 rodziny). Sam\u0105 aplikacj\u0119 warto oznaczy\u0107 sugestywn\u0105 ikon\u0105 i przypi\u0105\u0107 w widocznym na pulpicie miejscu. A je\u017celi jeste\u015bmy wyj\u0105tkowo ostro\u017cni, mo\u017cemy j\u0105 nawet ukry\u0107 (na przyk\u0142ad pod symbolem kotka).<\/p>

\"\"<\/p>

A jak to dzia\u0142a w praktyce?
<\/strong>Ka\u017cdy cz\u0142onek rodziny powinien mie\u0107 zainstalowan\u0105 t\u0119 sam\u0105 wersj\u0119 aplikacji. Gdy przydarzy si\u0119 nietypowa sytuacja, nale\u017cy natychmiast przerwa\u0107 po\u0142\u0105czenie. To jest bardzo newralgiczny moment, bowiem oszu\u015bci b\u0119d\u0105 robili wszystko by do tego nie dosz\u0142o. Nast\u0119pnie otworzy\u0107 aplikacj\u0119, sprawdzi\u0107 has\u0142o, zadzwoni\u0107 do wybranej osoby i porosi\u0107 o jego podanie. Ju\u017c samo takie dzia\u0142anie w wi\u0119kszo\u015bci przypadk\u00f3w zapobiegnie przykrej sytuacji. <\/p>

Etap 2<\/strong><\/h4>

Je\u015bli b\u0119dziecie zadowoleni z efektu mo\u017cecie zacz\u0105\u0107 bawi\u0107 si\u0119 wygl\u0105dem aplikacji i jej funkcjonalno\u015bciami, np. powi\u0119kszy\u0107 elementy dla os\u00f3b niedowidz\u0105cych, doda\u0107 wi\u0119cej hase\u0142, kt\u00f3re b\u0119d\u0105 zmienia\u0142y si\u0119 wedle okre\u015blonego systemu lub wgra\u0107 zdj\u0119cia rodziny zamiast avatar\u00f3w. Powy\u017csze rozwi\u0105zanie ma jednak jeden minus.<\/strong> Trzymanie has\u0142a i telefon\u00f3w w pliku otwartym .json, jest \u2014 delikatnie m\u00f3wi\u0105c \u2014 niezbyt dobr\u0105 praktyka (zw\u0142aszcza, \u017ce celem instalacji PWA umieszczamy aplikacj\u0119 na og\u00f3lno dost\u0119pnym serwerze). Gdy podzieli\u0142em si\u0119 tymi w\u0105tpliwo\u015bciami z Claude’m, ten doradzi\u0142 mi, aby zaszyfrowa\u0107 dane wra\u017cliwe metod\u0105 AES-GCM. Poprosi\u0142em wi\u0119c go, by stworzy\u0142 dla mnie stosown\u0105 aplikacj\u0119 (ale podobne s\u0105 te\u017c dost\u0119pne online) do obs\u0142ugi w przegl\u0105darce:  <\/p>

\"\"
Aplikacja do szyfrowania plik\u00f3w .json stworzona przez Claude<\/p>

Nast\u0119pnie opracowa\u0142em drugi prompt, dzi\u0119ki kt\u00f3remu Claude mia\u0142 poprawi\u0107 bezpiecze\u0144stwo ju\u017c wygenerowanej aplikacji:<\/p>

Przygotuj aktualizacj\u0119 aplikacji o nast\u0119puj\u0105ce elementy zwi\u0105zane z bezpiecze\u0144stwem:

1. przygotuj plik robots.txt chroni\u0105cy wszystkie elementy aplikacji przed odczytywaniem przez boty\/crawlery,<\/code>
2. pliki .json z has\u0142em i kontaktami do rodziny umieszczone na serwerze b\u0119d\u0105 zamienione przeze mnie na zaszyfrowane metod\u0105 AES-GCM (w za\u0142\u0105czeniu oba zaszyfrowane pliki),<\/code>
3. po zainstalowaniu aplikacji na telefonie i pierwszym jej uruchomieniu w trybie PWA pole z has\u0142em rodzinnym powinno by\u0107 zablokowane a wybranie po\u0142acze\u0144 niemo\u017cliwe (wy\u015bwietlany symbol k\u0142\u00f3dki zamiast has\u0142a),
4. po naci\u015bni\u0119ciu na symbol k\u0142\u00f3dki u\u017cytkownik jest proszony jednorazowo o klucz u\u017cyty do szyfrowania plik\u00f3w (znany tylko jemu),
5. po prawid\u0142owym podaniu klucza, pliki s\u0105 rozszyfrowywanie i zapisywane w pami\u0119ci lokalnej telefonu (localStorage); u\u017cytkownik mo\u017ce wtedy zobaczy\u0107 has\u0142o rodzinne oraz wykona\u0107 po\u0142\u0105czenia telefoniczne,
6. przy kolejnych uruchomieniach aplikacji, je\u015bli znajduje si\u0119 wpis w localStorage o odblokowaniu, has\u0142a s\u0105 automatycznie odszyfrowane bez pytania o kod,
7. wszystkie pozosta\u0142e funkcje aplikacji pozostaj\u0105 bez zmian.

Przygotuj osobno wszystkie potrzebne nowe pliki lub aktualizacje istniej\u0105cych uwzgl\u0119dniaj\u0105c istniej\u0105c\u0105 struktur\u0119 aplikacji.<\/code><\/td><\/tr><\/tbody><\/table><\/figure>

Claude zaktualizowa\u0142 wcze\u015bniejszy kod, dodatkowo do struktury plik\u00f3w doda\u0142 dwa nowe, kt\u00f3re odpowiedzialne s\u0105 w\u0142a\u015bnie za bezpiecze\u0144stwo: robots.txt oraz crypto-utils.js. Zaktualizowa\u0142em pliki na serwerze i ponownie zainstalowa\u0142em aplikacj\u0119 na telefonie. W efekcie po jej uruchomieniu \u2013 do momentu podania klucza u\u017cytego do szyfrowania plik\u00f3w \u2013 nie mog\u0142em zobaczy\u0107 rodzinnego has\u0142a i wykona\u0107 po\u0142\u0105cze\u0144.<\/p>

\"\"<\/p>

Oczywi\u015bcie sama aplikacja mo\u017ce by\u0107 dodatkowo zabezpieczona pinem, ale nie chcia\u0142em wyposa\u017ca\u0107 j\u0105 w kolejne zabezpieczenie, kt\u00f3re w potencjalnej sytuacji kryzysowej b\u0119dzie wymaga\u0142o przypominania sobie unikalnej kombinacji cyfr. Niestety, w przypadku technologi PWA nie jest mo\u017cliwie skorzystanie z zabezpiecze\u0144 biometrycznych \u2014 do korzystania z takich rozwi\u0105za\u0144 potrzebna jest ju\u017c aplikacja natywna. Przewag\u0105 PWA jest to, \u017ce od razu  dzia\u0142a na IOs i Androidzie. Nale\u017cy te\u017c pami\u0119ta\u0107, by skasowa\u0107 aplikacj\u0119 z serwera zaraz po tym, jak zainstaluj\u0105 j\u0105 wszyscy w rodzinie.<\/p>

O opini\u0119 co do skuteczno\u015bci mojego rozwi\u0105zania poprosi\u0142em Piotra Koniecznego z portalu Niebezpiecznik.pl.<\/strong> Swoj\u0105 drog\u0105 polecam zainstalowa\u0107 ich aplikacj\u0119<\/mark><\/a>, kt\u00f3ra na bie\u017c\u0105co dostarcza alerty na temat niebezpiecznych dzia\u0142a\u0144 w sieci.<\/p>

\"\"<\/td><\/tr>
Weryfikacja przez has\u0142o lub odzew to w zasadzie najprostsza forma potwierdzenia, \u017ce rozmawiamy ze znajom\u0105 nam osob\u0105. Problem w tym, \u017ce przest\u0119pcy s\u0105 tego \u015bwiadomi i ju\u017c teraz odpowiednio omijaj\u0105 procedury uwierzytelniania przez has\u0142o, kt\u00f3re s\u0105 stosowana w kilku bankach. Oszu\u015bci twierdz\u0105 np., \u017ce dzwoni\u0105 ze specjalnego dzia\u0142u bezpiecze\u0144stwa, kt\u00f3ry nie ma dost\u0119pu do bazy danych infolinii. \u0141atwo sobie wi\u0119c wyobrazi\u0107, \u017ce w przypadku ataku „na wnuczka”, w s\u0142uchawce us\u0142yszymy dwa zdania podrobionego g\u0142osu bliskiej nam osoby, pod kt\u00f3r\u0105 oszu\u015bci si\u0119 podszywaj\u0105, a potem zostanie nam zakomunikowane, \u017ce osoba ta zemdla\u0142a i nie ma z ni\u0105 ju\u017c kontaktu, wi\u0119c nie mo\u017ce „wr\u00f3ci\u0107” do telefonu i nie mo\u017cna j\u0105 o has\u0142o odpyta\u0107. A dzia\u0142a\u0107 trzeba przecie\u017c szybko! Niestety, w sytuacjach stresowych ludzie trac\u0105 g\u0142ow\u0119 i nie ma na to \u017cadnej rady. Ani aplikacji. Co nie znaczy, \u017ce u\u015bwiadamia\u0107 i pr\u00f3bowa\u0107 nie warto. Ka\u017cde pod\u0142o\u017cenie nogi oszustom si\u0119 liczy.<\/em><\/td><\/tr><\/tbody><\/table><\/figure>

Aplikacja to narz\u0119dzie, edukacja to klucz<\/strong><\/h4>

Jak napisa\u0142 Piotr, \u017cadne narz\u0119dzie \u2013 nawet najlepsze \u2013 nie da nam stuprocentowej ochrony.<\/strong> Dlatego opr\u00f3cz apki warto po\u015bwi\u0119ci\u0107 czas na edukacj\u0119 bliskich, zw\u0142aszcza starszych cz\u0142onk\u00f3w rodziny<\/mark>.<\/a> Prze\u0107wiczcie razem scenariusze potencjalnych atak\u00f3w, alarmowe sposoby komunikacji i przekonajcie senior\u00f3w, by nigdy nie podejmowali decyzji finansowych pod presj\u0105 czasu. Jakkolwiek niebezpiecznie i wiarygodnie wygl\u0105da\u0142aby sytuacja \u2014 zawsze jest czas na odrzucenie po\u0142\u0105czenia i rozmow\u0119 z kim\u015b bliskim lub zaufanym. Pami\u0119tajcie te\u017c o tradycyjnych rozwi\u0105zaniach, jak alerty z BIK czy zastrze\u017cenie numeru Pesel w aplikacji mObywatel.<\/p>

Na rynku dost\u0119pne s\u0105 apki, kt\u00f3re rozpoznaj\u0105 podejrzane numery, monitoruj\u0105 po\u0142\u0105czenia telefoniczne czy weryfikuj\u0105 g\u0142os dzwoni\u0105cego, ale i do nich nale\u017cy podchodzi\u0107 z rozwag\u0105<\/mark>.<\/a> Na przyk\u0142ad bardzo popularna aplikacja do oznaczania spamer\u00f3w Truecaller prosi o dost\u0119p do waszej ksi\u0105\u017cki telefonicznej. Powierzanie bezpiecze\u0144stwa takim rozwi\u0105zaniom niesie za sob\u0105 ryzyko utraty cz\u0119\u015bci prywatno\u015bci. R\u00f3wnocze\u015bnie rozwijane s\u0105 narz\u0119dzia AI do ochrony u\u017cytkownik\u00f3w \u2013 Google i Microsoft pracuj\u0105 nad modelami, kt\u00f3re analizuj\u0105 ton i tre\u015b\u0107 rozmowy i ostrzegaj\u0105 o mo\u017cliwym oszustwie \u2014 o czym pisa\u0142em w relacji z konferencji Google I\/O<\/mark><\/a>. Powstaj\u0105 nawet wirtualne babcie<\/mark><\/a>, kt\u00f3re wci\u0105gaj\u0105 w d\u0142ugie rozmowy fejkowych wnuczk\u00f3w lub konsultant\u00f3w.<\/p>

\"\"<\/p>

Ale ostatecznie to nie technologia, ale \u015bwiadomo\u015b\u0107 i zdrowy rozs\u0105dek daj\u0105 najlepsz\u0105 ochron\u0119. AI mo\u017ce pom\u00f3c wykry\u0107 zagro\u017cenie, ale to my musimy odpowiednio na nie reagowa\u0107. <\/p>

PS.<\/strong> Pierwsz\u0105 wersj\u0119 aplikacji konsultowa\u0142em z do\u015bwiadczonym deweloperem. On od razu wy\u0142apa\u0142, \u017ce Claude zaszy\u0142 klucz szyfruj\u0105cy w kodzie aplikacji! To pokazuje, \u017ce tworzenie za pomoc\u0105 AI rozwi\u0105za\u0144 (nawet tak prostych jak opisywana apka), w kt\u00f3rych kwestie bezpiecze\u0144stwa s\u0105 szczeg\u00f3lnie istotne, powinno by\u0107 zawsze weryfikowane przez do\u015bwiadczonych ekspert\u00f3w.<\/p>

*) S\u0142owniczek:<\/strong><\/p>