Com o rápido avanço da tecnologia, a escala e a sofisticação dos ataques cibernéticos estão aumentando. Anne Neuberger, Conselheira Adjunta de Segurança Nacional dos EUA, destacou esta preocupação em 2023, referenciando dados do FBI e do FMI que previam que o custo anual do crime cibernético nos EUA ultrapassaria os 23 biliões de dólares até 2027. Esta projeção alarmante sublinha a necessidade urgente de sistemas de segurança para evoluir no ritmo da transformação da IA em arma , o que aumentou significativamente a complexidade e a eficácia dos golpes.
Originalmente, os ataques de phishing eram relativamente simplistas, com os fraudadores se fazendo passar por entidades legítimas por e-mail para enganar os indivíduos e fazê-los divulgar informações confidenciais, como senhas e números de cartão de crédito. Esses cibercriminosos também enganam as vítimas para que acessem links maliciosos ou abram arquivos infectados, levando à instalação automática de malware em seus dispositivos.
No entanto, o advento das comunicações empresariais por SMS , dos códigos QR e das tecnologias avançadas de manipulação de voz tornou os esquemas de phishing cada vez mais difíceis de detectar e ampliou significativamente o seu potencial de danos. Isto levanta uma questão crítica: como é que a integração da IA nestas tácticas amplifica as hipóteses de enganar os indivíduos para que divulguem informações confidenciais ou se envolvam com ligações prejudiciais?
Quishing: phishing de código QR
Desde o início da pandemia da COVID-19, houve um aumento acentuado na prevalência de golpes de “quishing” – uma técnica de phishing que explora códigos QR. Este aumento coincidiu com a adoção crescente da tecnologia de código QR pelas empresas como uma alternativa sem contato aos documentos físicos . Depois que esses códigos QR são verificados, eles podem direcionar os usuários para sites maliciosos projetados para coletar dados pessoais, como informações de cartão de crédito, ou para baixar automaticamente malware no dispositivo do scanner.
Em 2022, a HP descobriu um sofisticado esquema de cancelamento em que indivíduos recebiam e-mails disfarçados de notificações de um serviço de entrega de encomendas. Esses e-mails instruíam os destinatários a efetuar o pagamento por meio de um código QR. O relatório do quarto trimestre da HP do mesmo ano revelou que esses ataques de phishing baseados em códigos QR eram muito mais prevalentes do que se reconhecia anteriormente. As descobertas destacaram uma tendência crescente entre os golpistas de utilizar códigos QR como um meio de imitar negócios legítimos, com o objetivo de enganar os indivíduos para que entreguem suas informações pessoais.
Vishing: phishing de voz
À medida que os avanços da IA avançam, o advento de tecnologias de alteração e geração de voz apresenta uma ameaça significativa e emergente. A Comissão Federal do Comércio, reconhecendo este perigo, emitiu um alerta em 2023 alertando contra o potencial enganador dos clones de voz gerados por IA em chamadas telefónicas. Esta advertência não era infundada; um caso notável em 2020 envolveu um trabalhador financeiro em Hong Kong que foi enganado para transferir £ 20 milhões para uma conta no exterior por um golpista que utilizava tecnologia deepfake.
Os golpes de vishing, ou phishing de voz, apresentam uma taxa de sucesso alarmantemente alta. Exploram o elemento surpresa, obrigando as vítimas a tomar decisões precipitadas sob pressão. Este imediatismo, inerente às chamadas de voz, contrasta fortemente com as fraudes baseadas em e-mail, onde os destinatários podem fazer uma pausa para questionar a legitimidade do pedido. Os golpistas também podem personalizar sua abordagem e se adaptar em tempo real às respostas e ao estado emocional da vítima por telefone , uma vantagem que falta aos golpes por e-mail. Esta manipulação personalizada é significativamente mais difícil de replicar através de tentativas de phishing baseadas em texto.
VALL-E, um exemplo notável dessa tecnologia, pode imitar a voz, a emoção e os padrões de fala únicos de uma pessoa com uma amostra de apenas três segundos de sua voz. Esta capacidade através de modelos alternativos torna-se especialmente potente nas mãos de cibercriminosos que visam indivíduos de alto perfil, como CEOs de empresas, para os quais existe abundante material audiovisual disponível online para fins de formação em IA. À medida que a tecnologia deepfake avança e se torna mais acessível, a fronteira entre a realidade e a fabricação artificial torna-se cada vez mais confusa, amplificando o potencial de ataques vishing para enganar e manipular com uma eficácia sem precedentes.
Smishing: phishing por SMS
Um estudo de 2023 do NatWest revelou que 28% dos residentes do Reino Unido notaram um aumento nas atividades fraudulentas em comparação com o ano anterior, com mensagens SMS fraudulentas liderando a acusação como a forma mais comum de phishing. Embora muitos desses golpes de SMS sejam facilmente identificáveis como fraudes, aqueles que conseguem evitar a detecção podem causar danos consideráveis.
Um incidente notável em 2022 envolveu um hacker autodidata que se passou por um profissional de TI para proteger a senha de um funcionário do Uber. Este ataque aparentemente simples de smishing (phishing por SMS) abriu caminho para o hacker obter amplo acesso às redes internas da Uber. Embora seja tentador ver esses incidentes como casos isolados, a evolução da IA generativa provavelmente capacitará até mesmo os cibercriminosos novatos a executar operações de phishing mais complexas com o mínimo de conhecimento técnico.
Para aumentar a preocupação, o Centro Nacional de Cibersegurança (NCSC) emitiu um alerta no início deste ano sobre o potencial da IA Generativa para aumentar a credibilidade dos golpes. Estas ferramentas de IA estão agora a ser utilizadas para criar “documentos de isca” falsos, livres das habituais tentativas de phishing, como erros de tradução, ortografia ou gramaticais, graças às capacidades de refinamento dos chatbots e às plataformas de IA generativas acessíveis. Este avanço sublinha um desafio crescente em distinguir as comunicações genuínas das fraudulentas, aumentando os riscos na batalha contínua contra o crime cibernético.
Como a segurança cibernética pode acompanhar o ritmo da IA generativa?
Em março, a Microsoft divulgou um relatório que mostra que 87% das organizações do Reino Unido estão agora mais suscetíveis a ataques cibernéticos devido à crescente acessibilidade às ferramentas de IA, sendo 39% destas entidades consideradas de “alto risco”. Esta estatística alarmante destaca a necessidade urgente de o Reino Unido reforçar os seus mecanismos de defesa cibernética.
O advento da IA mudou significativamente a dinâmica da segurança cibernética , introduzindo métodos sofisticados para os cibercriminosos explorarem, como algoritmos de aprendizagem automática concebidos para descobrir e aproveitar falhas de software para ataques cibernéticos mais direcionados e potentes. No entanto, a investigação da Forrester indica que 90% dos ataques cibernéticos ainda envolverão interação humana, sugerindo que os métodos tradicionais como o phishing continuam a ser altamente eficazes. Isto sublinha a importância para as empresas não só de fortalecerem as suas defesas contra tácticas básicas, mas também de se manterem actualizadas sobre como os avanços da IA podem alterar estas estratégias de ataque.
Para mitigar vetores de ataque comuns, as empresas devem evitar tentativas de phishing, impedindo que e-mails maliciosos cheguem às caixas de entrada dos usuários. A implementação de protocolos de autenticação de e-mail, como SPF, DKIM e DMARC, pode reduzir significativamente as chances de e-mails falsificados penetrarem nas defesas de e-mail. Apesar destas medidas, no entanto, a probabilidade de uma tentativa de phishing acabar por violar as barreiras de segurança cibernética permanece, tornando fundamental o cultivo de uma cultura de segurança robusta dentro das organizações. Isso envolve educar os funcionários não apenas para reconhecer, mas também para responder corretamente às ameaças.
O Relatório de Investigações de Violação de Dados da Verizon de 2023 observa que um em cada três funcionários pode interagir com links de phishing e um em cada oito pode divulgar informações pessoais quando solicitado. Esta estatística é um lembrete claro da necessidade contínua de melhoria nas práticas organizacionais de segurança cibernética e enfatiza o papel crítico que os funcionários desempenham no ecossistema de segurança cibernética. Aproveitar a tecnologia para detectar e neutralizar ameaças de phishing é indispensável, mas não pode funcionar no vácuo. À medida que a IA apresenta desafios crescentes, a promoção de uma força de trabalho informada e proativa torna-se crucial na interceção das tentativas de phishing que escapam às salvaguardas digitais.
