Skanowanie plików nie wystarcza: NordVPN na nowo definiuje pojęcie antywirusa

Problem z obecną definicją

Antywirusy były zawsze oceniane przez jeden pryzmat: skuteczność wykrywania złośliwych plików. Pierwsze antywirusowe narzędzia porównywały pliki z bazami znanych sygnatur. Późniejsze wzbogaciły się o heurystykę, analizę zachowania, sandboxing i uczenie maszynowe.

Przez cały ten czas odpowiedź na to samo pytanie pozostawała priorytetem: czy ten plik jest niebezpieczny? Tymczasem zagrożenia ewoluowały – phishing, oszustwa, inżynieria społeczna i kradzież tożsamości nie potrzebują złośliwego pliku, żeby wyrządzić szkody. Branża nie nadąża za własnym krajobrazem zagrożeń.

Wirusy nie są już największym zagrożeniem

Większość współczesnych zagrożeń nie ma wiele wspólnego z klasycznym wirusem. Oto aktualne problemy dotykające użytkowników:

• Oszustwa, znane także jako scamy, przybrały formę zaawansowanych operacji socjotechnicznych – od fałszywych sklepów z przekonującymi recenzjami, przez SMS-y podszywające się pod kurierów i urzędy, po telefoniczne wyłudzenia wspierane przez deepfake'owe głosy generowane przez AI. Żaden z tych ataków nie wymaga złośliwego pliku.
• Phishing przestał być łatwym do rozpoznania e-mailem pełnym błędów. Dzisiejsze strony phishingowe to wierne kopie prawdziwych serwisów – często z ważnym certyfikatem SSL – wyłudzające dane logowania, tokeny sesji i kody uwierzytelniania wieloskładnikowego.
• Kradzież tożsamości to zagrożenie numer jeden wskazywane przez użytkowników NordVPN. ¹ Atakujący przejmują konta przez credential stuffing, SIM swapping, przejęcie sesji i inżynierię społeczną – a skradzione dane osobowe służą następnie do otwierania zobowiązań kredytowych lub popełniania oszustw.
• Złośliwe oprogramowanie i pliki wciąż pozostają realnym zagrożeniem. Pliki pobierane przez użytkowników wymagają kontroli – są jednak dziś tylko jednym z wielu wektorów ataku.

Narzędzie skupione wyłącznie na złośliwych plikach ignoruje większość problemów, z którymi użytkownicy muszą mierzyć się na co dzień.

Co powinien oznaczać „nowoczesny antywirus"

Słowo „antywirus" ma długą historię. Gdy złośliwe pliki były głównym zagrożeniem cyfrowym, termin ten był precyzyjny. Z biegiem czasu stał się synonimem ogólnego oprogramowania zabezpieczającego – tak jak adidasy stały się ogólną nazwą obuwia sportowego.

Sektor korporacyjny jako pierwszy zareagował na ograniczenia tradycyjnych antywirusów, wprowadzając nowoczesne antywirusy nowej generacji (skr. NGAV, z ang. Next-Generation Antivirus). Łączą one wykrywanie behawioralne z algorytmami uczenia maszynowego, pozwalając identyfikować bezplikowe złośliwe oprogramowanie i exploity, które umykają klasycznym skanerom. Zostały jednak zaprojektowane z myślą o środowiskach firmowych z dedykowanymi zespołami bezpieczeństwa i administracją – nie dla indywidualnych użytkowników. Co więcej, opierają się na rozbudowanej telemetrii behawioralnej, której produkt stawiający na pierwszym miejscu prywatność zbierać nie powinien.

Wynik jest taki, że „antywirus" kryje dziś dwa przestarzałe modele: jeden stworzony dla użytkowników indywidualnych w czasach, gdy pliki były głównym zagrożeniem, i jeden korporacyjny, który nie został zaprojektowany dla prywatnych urządzeń. Żaden nie odpowiada na rzeczywiste potrzeby dzisiejszych użytkowników.

NordVPN definiuje „nowoczesny antywirus" jako kompleksowe narzędzie do ochrony cyfrowej, obejmujące pięć obszarów:

• Ochrona przed oszustwami – wykrywanie podejrzanych stron i sklepów, ostrzeganie przed fałszywymi SMS-ami, identyfikowanie podejrzanych połączeń i ochrona sesji bankowych.
• Ochrona przed phishingiem – analiza adresów URL, linków i treści stron w czasie rzeczywistym, zatrzymująca w porę próby wyłudzenia danych.
• Ochrona tożsamości i kont – monitorowanie wycieków danych w dark webie, alerty o wyciekłych danych logowania, wykrywanie nieautoryzowanych prób dostępu i oznaczanie słabych haseł.
• Blokowanie trackerów i reklam – usuwanie skryptów śledzących między witrynami, fingerprintingu i natrętnych reklam, które naruszają prywatność i tworzą dodatkowe furtki dla ataków socjotechnicznych.
• Ochrona plików i urządzeń – skanowanie pobieranych plików oraz izolowanie lub usuwanie złośliwego oprogramowania przed uruchomieniem.

Jak stworzyliśmy nowoczesny antywirus

Skuteczna ochrona cyfrowa wymaga równoważenia trzech celów, które nierzadko stoją ze sobą w sprzeczności: brak profilowania użytkowników, zbieranie danych niezbędnych do doskonalenia produktu i działanie bez obciążania użytkownika. 

Produkt tworzony z myślą tylko o jednym z tych celów nieuchronnie zawodzi w pozostałych: albo narusza prywatność, albo nie spełnia swojej funkcji, albo jest zbyt skomplikowany w obsłudze. Pogodzenie wszystkich trzech wymagań naraz jest trudniejsze, ale efekt końcowy jest wart tego wysiłku. 

Nie profilujemy

Prywatność to fundament, na którym zbudowano NordVPN. To zobowiązanie ma jednak swoją cenę: systemy wykrywania zagrożeń muszą osiągać pełną skuteczność, dysponując skromniejszą bazą danych niż rozwiązania konkurencyjne. 

Zasada jest prosta: poza urządzenie trafiają wyłącznie dane niezbędne do identyfikacji zagrożenia. W praktyce oznacza to, że:

• pliki są weryfikowane (jeśli to możliwe) przez hash, a nie przez zawartość;
• sdresy URL są czyszczone z parametrów zapytań i osobistych fragmentów ścieżki przed wysłaniem do chmury – żaden URL nie jest powiązany z konkretnym użytkownikiem;
• uwierzytelniające pliki cookies są haszowane, a do zewnętrznego przetwarzania trafia jedynie osiem pierwszych znaków.

Schemat danych nie przewiduje pola na identyfikator użytkownika. Prywatność nie jest tu kwestią dobrej woli – system egzekwuje ją z założenia.

Mierzymy, nie obserwując

Bez pomiaru nie ma możliwości oceny skuteczności. NordVPN musi wiedzieć, czy weryfikator phishingu działa lepiej, czy modele wykrywania oszustw rozpoznają nowe wzorce i gdzie pojawiają się luki. To wymaga danych zwrotnych.

Ich niekontrolowane zbieranie prowadziłoby jednak prosto do inwigilacji. Dlatego NordVPN mierzy systemy wykrywania, nie zbierając danych osobowych. Każdy element systemu dostarcza zagregowane dane o swojej wydajności:

• klasyfikatory ML raportują wskaźniki wykrywania i odsetek fałszywych alarmów;
• fuzzy hashing raportuje szybkość klasyfikacji;
• kanały informacji o zagrożeniach raportują aktualność danych.

Modele są douczane na zanonimizowanych próbkach i statystycznych podsumowaniach. Historia przeglądania użytkowników nie wchodzi do pętli zwrotnej. Możliwa jest ocena, czy model phishingowy się poprawia – niemożliwa jest wiedza o tym, co konkretny użytkownik robił w chwili, gdy model wykrył zagrożenie.

Produkt, który działa w tle

Najskuteczniejsza ochrona to taka, o której się nie myśli – bez konfiguracji, bez nawału powiadomień, bez konieczności posiadania technicznej wiedzy. Żeby taki produkt budować, trzeba rozumieć, jak użytkownicy z niego korzystają. NordVPN definiuje tu wyraźne minimum i nie wykracza poza nie.

Za zgodą użytkownika zbierane są:

• informacje o tym, które funkcje są włączone i jak często używane;
• metryki wolumenu – liczba zablokowanych zagrożeń w określonym czasie;
• wyniki satysfakcji z bezpośrednich ankiet.

Żaden z tych punktów nie ujawnia indywidualnego zachowania. W połączeniu dają jednak odpowiedź na jedno kluczowe pytanie: czy produkt działa na tyle dobrze, żeby użytkownik w ogóle nie musiał o nim myśleć. 

Podejście NordVPN do AI: małe modele, konkretne zadania

Zamiast jednego modelu usiłującego klasyfikować wszystkie zagrożenia, NordVPN stosuje zestaw małych, wyspecjalizowanych modeli, z których każdy wytrenowany jest do poszczególnego zadania:

• ocena adresów URL pod kątem cech phishingu;
• identyfikacja wzorców charakterystycznych dla fałszywych sklepów;
• analiza zachowania plików pod kątem złośliwego oprogramowania;
• wykrywanie wzorców inżynierii społecznej w wiadomościach.

Lżejsze modele działają bezpośrednio na urządzeniu użytkownika lub w rozszerzeniu przeglądarki. Te wymagające większej mocy obliczeniowej – po stronie backendu. Gdy przetwarzanie odbywa się lokalnie, dane nie opuszczają urządzenia.

Każdy model można sprawdzać i ulepszać osobno, bez wpływu na pozostałe. Gdy skuteczność spada, przyczyna jest łatwa do zidentyfikowania, a kiedy model wykrywania oszustw generuje fałszywe alarmy, można go skorygować bez wpływu na pozostałe moduły.

Modele uczenia maszynowego współpracują z systemami regułowymi, bazami informacji o zagrożeniach i ludzką weryfikacją – wzajemnie uzupełniając swoje ograniczenia. To połączenie okazało się najskuteczniejszym podejściem do klasyfikowania zagrożeń w czasie rzeczywistym na milionach urządzeń, które jednocześnie nie odbywa się kosztem prywatności użytkowników. 

Co dalej?

„Antywirus" pozostanie w użyciu – to pojęcie, przez które użytkownicy rozumieją i szukają ochrony cyfrowej. Branża ma wybór: trzymać się definicji ograniczonej do skanowania plików i ignorować resztę środowiska zagrożeń, lub budować produkty, które faktycznie odpowiadają na potrzeby użytkowników.

NordVPN postawił na drugie rozwiązanie: jeden produkt, który łączy ochronę przed oszustwami, wykrywanie phishingu, monitorowanie tożsamości i bezpieczeństwo plików. Stworzony z poszanowaniem prywatności, oparty na rzetelnych pomiarach i zaprojektowany tak, by działał w tle, bez angażowania uwagi użytkownika. 

Według NordVPN, nowoczesny antywirus powinien oznaczać ochronę przed phishingiem, oszustwami, kradzieżą tożsamości i złośliwym oprogramowaniem.

Odnośniki

¹ Šlekytė, I. (2025, 25 czerwca). NordVPN research reveals: One in three people fall victim to online scams. NordVPN. https://www.nordvpn.com/blog/scam-experience-research/