Dramatičan napredak vještačke inteligencije u potpunosti je izbrisao granicu između stvarnog i generisanog multimedijalnog sadržaja. Dok su se nekada napadi socijalnog inženjeringa, poput popularnih “CEO prevara” (Business Email Compromise – BEC), relativno lako prepoznavali po lošoj gramatici, sumnjivim email adresama ili generičkom tonu poruka, napadači danas u arsenalu imaju jedno od najopasnijih AI oružja: Deepfake Audio (kloniranje glasa) i Video tehnologiju.
Kloniranje glasa u realnom vremenu omogućava kriminalcima da unutar nekoliko sekundi replikuju glas bilo kojeg menadžera ili direktora preduzeća, prebacujući težište sajber kriminala sa digitalnih propusta direktno na ljudsku psihologiju.
Scenario iz prave prakse: Kako izgleda savremeni AI napad?
Da bismo razumjeli opasnost ove tehnologije, moramo je posmatrati kroz realističan scenario koji se sve češće dešava u poslovnom svijetu širom planete:
- Faza pripreme (Izviđanje): Napadač targetira kompaniju i identifikuje ključne osobe – generalnog direktora (CEO) i šefa računovodstva ili finansija. Kroz javno dostupne materijale (video intervjui na YouTube-u, paneli, podcasti ili izjave za medije), napadač prikuplja svega tridesetak sekundi čistog audio materijala na kojem direktor govori.
- Inicijalni kontakt (Mejl): Šefu računovodstva stiže email sa adrese koja izgleda gotovo identično direktorovoj: “Na veoma sam važnom i povjerljivom sastanku sa advokatima oko akvizicije nove opreme. Moramo hitno uplatiti avans od 25.000 EUR kako ugovor ne bi propao. Trenutno ne mogu da kucam, ali nazvaću te na kratko sa sastanka da potvrdim nalog.”
- AI izvršenje (Poziv): Telefon zvoni. Sa druge strane žice čuje se prepoznatljiva boja glasa direktora, njegov specifičan akcenat, pa čak i ambijentalna buka sastanka u pozadini. Glas užurbano govori: “Da, ja sam, situacija je kritična, pusti onu uplatu o kojoj sam ti pisao u mejlu odmah, gubimo ugovor ako ne legne u narednih pola sata. Računam na tebe, žurim nazad unutra.” Veza se prekida.
- Ishod: Žrtva, potpuno uvjerena da je razgovarala sa svojim nadređenim, unosi i autorizuje nalog. Novac odlazi na inostrani račun prevaranata, a prevara se otkriva tek na kraju radnog vremena ili tokom narednih dana kada se direktor vrati sa puta.
Tehnička pozadina: Koliko je lako klonirati nečiji glas?
Zabluda je da su za kreiranje uvjerljivog Deepfake audio snimka potrebni super-računari, skup softver i mjeseci rada. Sa tehnologijom u 2026. godini, komercijalni generativni AI modeli dostupni su na webu za svega nekoliko dolara, a njihova upotreba je zastrašujuće jednostavna.
Modernim neuronskim mrežama više nije potreban ogroman skup podataka (Dataset). Dovoljno je unijeti kratak audio uzorak (tzv. “Voice Seed”) kako bi AI u potpunosti mapirao:
- Boja i ton glasa (vokalne karakteristike).
- Brzina govora i specifični regionalni akcenat.
- Emotivni ton (užurbanost, stres, smirenost).
- Prirodne nesavršenosti poput uzdaha ili pauza između riječi.
Kada sistem jednom mapira glas, napadač u tekstualno polje jednostavno ukuca ono što želi da direktor “izgovori” (Text-to-Speech), a AI generiše audio fajl ili čak omogućava prenos glasa u realnom vremenu (Voice Changing) tokom aktivnog telefonskog poziva.
Kako se odbraniti? Praktični protokoli koji spašavaju budžet
Pošto se u ovom slučaju ne radi o propustu u kodu, zastarjelom operativnom sistemu ili loše podešenom firewall-u, klasična tehnička rješenja ovdje gube bitku. Odbrana od AI socijalnog inženjeringa leži isključivo u uvođenju i striktnom poštovanju internih bezbjednosnih procedura.
Svako preduzeće, bez obzira na veličinu, moralo bi hitno da implementira sljedeća tri pravila:
1. Uvođenje interne “Sigurnosne lozinke” (Safe Word)
Svaka vanredna, hitna ili finansijska transakcija koja prelazi određeni limit, a nalaže se putem telefona ili video poziva, mora biti potvrđena internom, tajnom lozinkom. Ovu šifru znaju isključivo članovi uprave i lica ovlašćena za izvršavanje plaćanja. Ukoliko osoba sa druge strane žice (bila ona direktor ili ne) ne može da izgovori dogovorenu lozinku, poziv se automatski prekida, a incident se prijavljuje IT sektoru.
2. Obavezni “Out-of-Band” verifikacioni protokol
Ukoliko nalog za hitno plaćanje stigne kroz jedan komunikacioni kanal (npr. email), zaposleni ima apsolutnu obavezu da izvrši verifikaciju kroz potpuno drugi, nezavisni kanal komunikacije. Na primjer, ako je uputstvo stiglo na službeni email, potvrda se vrši isključivo pozivom na privatni mobilni broj direktora, slanjem poruke kroz interni zaštićeni chat (poput Signala) ili ličnim kontaktom. Nikada se potvrda ne vrši odgovaranjem na isti email ili pozivanjem broja koji je naveden u samom sumnjivom mejlu.
3. Edukacija i promjena korporativne kulture
Najvažnija karika u lancu odbrane je čovjek. Finansijski i administrativni timovi moraju proći kroz obuku gdje će naučiti da pojmovi kao što su “HITNO”, “TAJNO” i “ODMAH” više ne predstavljaju naredbu za slijepo izvršavanje, već automatsku crvenu zastavicu (Red Flag) koja zahtijeva dodatne provjere. Direktor koji je svjestan opasnosti vještačke inteligencije nikada neće zamjeriti zaposlenom što je stopirao hitnu uplatu radi bezbjednosne provjere – naprotiv.
Završna riječ: Živimo u eri u kojoj digitalni identitet može biti repliciran za nekoliko sekundi. U svijetu gdje oči i uši mogu biti prevareni tehnologijom, jedina prava linija odbrane postaju jasne procedure, skepticizam i nulta tolerancija na preskakanje bezbjednosnih koraka unutar poslovnog okruženja.
