Com o avanço da inteligência artificial, cibercriminosos conseguem analisar dados online rapidamente, criando estratégias sofisticadas de phishing que enganam até os sistemas de segurança mais avançados
Celebramos o fato de a inteligência artificial estar transformando várias indústrias, mas nem todas as indústrias afetadas são lícitas na mesma medida: ela também tem servido para armar os cibercriminosos com ferramentas mais sofisticadas para realizar golpes de phishing.
De acordo com especialistas em cibersegurança e relatórios recentes de empresas como a gigante do e-commerce eBay ou a multinacional de seguros Beazley, começaram a proliferar golpes de phishing ultrassofisticados e personalizados com base em IA, o que representa um grande desafio, já que os usuários ainda continuam caindo em campanhas de phishing muito menos elaboradas.
O impacto da inteligência artificial no phishing
A IA permite que os hackers, por meio da rápida análise de grandes quantidades de dados sobre um indivíduo ou uma empresa, repliquem seu estilo e tom para elaborar e-mails convincentes, que são difíceis de detectar como fraudulentos. Segundo Kirsty Kelly, diretora de segurança da informação da Beazley:
“Está piorando cada vez mais e se tornando mais personalizado. Por isso, suspeitamos que a IA esteja, em grande parte, por trás disso”.
- A NASA conseguiu reinventar a RODA – o resultado é inacreditável
- Empresa da Europa surpreendeu o mundo com seu projeto: transformar bitucas de cigarros em asfalto para construir novas estradas
- Elon Musk quer o agro do Brasil! Starlink, empresa do bilionário, faz mega promoção visando levar internet para todo o campo brasileiro
- Empresa lança robô capaz de procurar energia geotérmica em todos os tipos de terrenos, inclusive no seu quintal! Essa incrível tecnologia pode revolucionar o setor energético
Essa personalização extrema é alcançada analisando perfis online e atividades em redes sociais, o que também permite aos atacantes identificar quais temas podem atrair ou convencer as vítimas. Por exemplo, um executivo poderia receber um e-mail aparentemente legítimo relacionado a um projeto recente mencionado no LinkedIn.
Kip Meintzer, da empresa de cibersegurança Check Point Software Tech., afirmou durante uma recente conferência para investidores que a IA proporcionou aos hackers “a capacidade de escrever um e-mail de phishing perfeito”.
Essas táticas hiperpersonalizadas aumentam significativamente a probabilidade de sucesso dos ataques.
Vantagens da inteligência artificial para os cibercriminosos
Nadezda Demidova, pesquisadora de segurança cibernética no eBay, explicou que a disponibilidade de ferramentas de IA generativa reduziu significativamente as barreiras de entrada para o cibercrime (ou seja, já não é necessário ser um grande especialista em tecnologia para lançar campanhas de golpes virtuais).
Essas ferramentas não só permitem criar e-mails convincentes, como também adaptá-los rapidamente para contornar filtros de segurança corporativos.
Além disso, a IA pode escanear códigos e analisar processos humanos para identificar vulnerabilidades, segundo Sean Joyce, líder global de cibersegurança na PwC. Isso faz com que até mesmo empresas com sistemas de defesa sofisticados sejam vulneráveis a ataques direcionados.
O alcance dos golpes e seu impacto financeiro
Mais de 90% dos ciberataques bem-sucedidos começam com um ataque de phishing por e-mail, de acordo com a Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA). Esse método de ataque não é apenas eficaz, mas também muito caro para as vítimas, especialmente quando se trata de empresas.
Um tipo específico de ataque que ganhou relevância é conhecido como ‘BEC’, no qual os golpistas enganam os destinatários (fingindo ser um executivo ou fornecedor) para que transfiram fundos ou compartilhem informações confidenciais sem usar malware.
Segundo o FBI, esse tipo de fraude gerou perdas superiores a 50 bilhões de dólares em todo o mundo desde 2013.
O que empresas e usuários podem fazer?
Diante desse cenário, tanto empresas quanto indivíduos devem adotar estratégias mais proativas para mitigar o risco de ataques de phishing impulsionados por inteligência artificial:
Educação contínua: A formação em cibersegurança deve evoluir para incluir exemplos de e-mails hiperpersonalizados e outras estratégias emergentes impulsionadas por inteligência artificial.
Investimentos em tecnologia: As organizações precisam implementar sistemas de detecção baseados em inteligência artificial que possam identificar padrões anômalos em e-mails, mesmo quando pareçam altamente personalizados.
Supervisão constante de perfis online: Reduzir a quantidade de informações pessoais disponíveis publicamente pode dificultar a coleta de dados relevantes pelos atacantes para seus golpes.