Os dados de identidade sempre foram um dos saques favoritos dos cibercriminosos. Com a ajuda deles, o comprometimento de contas pode ser iniciado e a fraude de identidade cometida. Agora ChatGPT & Co também estão ajudando com e-mails de phishing perfeitos. Uma declaração de Dirk Decker, Diretor Regional de Vendas DACH e EMEA Sul da Ping Identity.
Os invasores geralmente usam engenharia social e phishing. A taxa de sucesso de tais ataques, principalmente baseada em massa, é limitada. E-mails e mensagens individualizados e personalizados para uma vítima oferecem taxas de sucesso significativamente mais altas, mas também exigem muito mais trabalho e, portanto, são – até agora – a exceção.
ChatGPT & Co ajuda com phishing
Até agora, porque com o surgimento dos primeiros chatbots baseados em IA, como o ChatGPT, e-mails e mensagens sobre engenharia social e phishing voltados para as massas agora também podem ser individualizados - e isso de forma rápida, fácil e eficaz. A taxa de sucesso de um único ataque - quanto mais de uma campanha inteira - pode ser bastante aumentada graças à IA. Porque mesmo e-mails de resposta, até conversas mais longas e altamente complexas, podem ser criadas de forma 'realista' automaticamente com chatbots baseados em IA. Para fazer isso, a IA precisa apenas dos dados pessoais e de identificação pessoal de suas vítimas, acessíveis gratuitamente a todos na Internet. Ela é até capaz de aperfeiçoar e-mails e mensagens com base nas reações positivas e negativas de suas vítimas.
Christina Lekati, especialista em defesa contra ataques de engenharia social, explicou recentemente como esses ataques baseados em IA em dados de identidade podem parecer na prática no artigo 'ChatGPT e o futuro da engenharia social', que vale a pena ler. O TÜV também avalia o desenvolvimento emergente como sério. Em seu estudo publicado recentemente 'Cyber Security in German Companies', a associação adverte explicitamente contra o uso indevido de sistemas de IA por criminosos cibernéticos - também e especialmente no contexto de personalização e otimização de campanhas de spear phishing e engenharia social.
Simule internamente campanhas de phishing baseadas em IA
Para minimizar a taxa de sucesso potencial de campanhas apoiadas por IA, muitos especialistas agora aconselham aumentar a conscientização sobre o problema na força de trabalho e simular campanhas de phishing baseadas em IA para detectar possíveis pontos fracos e contê-los com antecedência. Essas medidas preventivas são muito boas - mas não são suficientes por si só. Mais é necessário – e agora também é possível. Estamos falando sobre o uso de dados de identidade verificados e soluções descentralizadas de gerenciamento de identidade e detecção e resposta a ameaças de identidade (ITDR).
Para minimizar o risco de fraude, muitas empresas agora exigem que seus clientes forneçam dados de identidade verificáveis, cópias digitais que podem ser 'certificadas' atribuídas à pessoa por terceiros verificadores - por exemplo, uma autoridade. Para que os clientes concordem em compartilhar esses dados de identidade de alta qualidade com uma empresa, a empresa deve primeiro estabelecer e garantir um maior nível de proteção para os dados.
Gestão descentralizada de identidades digitais
Ping Identity, Dirk Decker, Diretor Regional de Vendas DACH e EMEA South (Imagem: Ping Identity).
O gerenciamento descentralizado de identidades digitais permite que eles façam exatamente isso. Com uma solução de gerenciamento de identidade descentralizada, os dados de identidade verificados são armazenados, gerenciados e compartilhados por meio de uma carteira digital criptografada no smartphone do cliente. Desta forma, ele sempre mantém o controle total sobre seus dados. Só ele decide o que quer compartilhar, quando e com quem.
Por fim, o ITDR permite a identificação, mitigação e resposta adequada a cenários de ameaças com base em identidade, como contas de usuário comprometidas, senhas comprometidas, dados comprometidos e outras atividades fraudulentas. O aprendizado de máquina é usado para distinguir entre o comportamento típico e atípico, humano e do usuário de bot, para que as contramedidas possam ser tomadas em um estágio inicial no caso de um comprometimento.
No decorrer do crescente uso indevido da IA, é necessário e correto proteger-se de forma mais eficaz do que antes contra roubo de identidade e comprometimento de contas - e graças a dados de identidade verificados, gerenciamento de identidade descentralizado e ITDR agora também é possível. As soluções de gerenciamento de identidade de próxima geração - isso é certo - não poderão mais evitar esses recursos.
Mais em PingIdentity.com
Sobre Identidade Ping Ping Identity é uma garantia de experiências digitais seguras e perfeitas para todos os usuários - sem compromisso. Isso é o que queremos dizer com liberdade digital. Permitimos que as organizações combinem as melhores soluções de identidade com os serviços de terceiros que já usam para eliminar o uso de senhas, evitar fraudes, fortalecer a confiança zero ou tudo mais.