Até agora, as organizações tiveram sua maior fraqueza na luta contra o cibercrime bem controlada: os funcionários foram treinados e sensibilizados com sucesso. Mas com os golpes de engenharia social gerados por IA surge uma nova onda. Até que a tecnologia amadureça, os humanos precisam bancar o cão de guarda, diz Chester Wisniewski, Field CTO Applied Research da Sophos e faz três previsões para o futuro.
As organizações têm lutado com um de seus componentes de segurança cibernética mais críticos: seus funcionários. Eles combatem a "fraqueza humana" com treinamento contínuo e agora geralmente confiam que os usuários reconhecerão possíveis ataques de phishing devido a irregularidades linguísticas ou ortografia e gramática incorretas, por exemplo.
A IA não se revela mais por meio de erros de ortografia
Mas os geradores de voz e conteúdo com inteligência artificial, como o ChatGPT, estão a caminho de remover esses elementos reveladores de golpes, tentativas de phishing e outros ataques de engenharia social. Um e-mail falso do “supervisor” pode parecer mais convincente do que nunca, graças à inteligência artificial, e os funcionários, sem dúvida, terão mais dificuldade em distinguir fato de ficção. No caso desses golpes, os riscos representados pelas ferramentas de linguagem de IA não são técnicos, mas sociais – e, portanto, assustadores.
Os riscos específicos de ataques de phishing gerados por IA
Desde a criação de postagens de blog e código de codificação até a composição de e-mails profissionais, as ferramentas de linguagem AI podem fazer tudo. As tecnologias são hábeis em gerar conteúdo atraente e são incrivelmente boas em emular padrões de linguagem humana.
Embora ainda não tenhamos verificado qualquer abuso desses programas para conteúdo de engenharia social, suspeitamos que seja iminente. O ChatGPT já foi usado para escrever malware e esperamos que criminosos desenvolvam aplicativos maliciosos para ferramentas de voz de IA em breve. Mas: o conteúdo de phishing gerado por IA já apresenta riscos sociais únicos que prejudicam a defesa técnica!
Ataques de phishing de IA: todo e-mail pode ser uma ameaça?
Veja o malware gerado por IA, por exemplo: os produtos de segurança existentes podem analisar o código de codificação em milissegundos e avaliá-lo com confiança como seguro ou malicioso. Mais importante, a tecnologia pode neutralizar a tecnologia.
Mas palavras e nuances embutidas em mensagens de phishing criadas com inteligência artificial não podem ser detectadas por máquinas – são os humanos que interpretarão essas tentativas de golpe como destinatários. Como as ferramentas de IA são capazes de produzir conteúdo sofisticado e realista sob demanda, podemos contar cada vez menos com os humanos como parte da linha de defesa.
Novo Fato: Tecnologia vs. Tecnologia
Essa situação em rápida evolução requer uma reavaliação do papel do treinamento de segurança no combate a ataques de engenharia social. Embora ainda não haja aplicação comercial contra fraudes geradas por IA, a tecnologia servirá cada vez mais como uma ferramenta fundamental para identificar e proteger indivíduos contra ataques de phishing gerados por máquinas. Os humanos ainda desempenharão um papel, mas apenas um papel muito pequeno.
Três profecias para a era ChatGPT
Embora ainda estejamos nos estágios iniciais desta nova era de IA, já está claro que o conteúdo de phishing gerado por IA se tornará um tópico extremamente importante para a estratégia de segurança corporativa. As três previsões a seguir de como o ChatGPT pode ser usado como uma ferramenta para o cibercrime e quais respostas de segurança serão desenvolvidas a partir dele parecem as mais prováveis:
1. Autenticação de usuário mais complexa se tornará necessária.
As máquinas são muito boas em soar como humanos, então há uma necessidade de fornecer novas opções de autenticação nas empresas. Ou seja: toda comunicação que diga respeito ao acesso a informações da empresa, sistemas ou elementos monetários deve exigir formas mais complexas de autenticação do usuário. A verificação de chamadas telefônicas provavelmente se tornará o método mais comum de verificação desses tipos de e-mails ou mensagens. As empresas também podem usar uma senha diária secreta para se identificar para outras entidades ou indivíduos.
Algumas instituições financeiras já operam dessa forma. Qualquer que seja a forma de verificação usada, é crucial que o método não possa ser facilmente usado por invasores que comprometeram as credenciais do usuário.
À medida que as tecnologias de IA evoluem e se espalham a uma velocidade vertiginosa, os métodos de autenticação precisam acompanhar. Por exemplo, em janeiro deste ano, a Microsoft divulgou o VALL-E, uma nova tecnologia de IA que pode clonar uma voz humana após três segundos de gravação de áudio. Portanto, em um futuro próximo, o telefonema provavelmente não será mais suficiente como requisito de autenticação também...
2. Usuários legítimos atenuam os avisos de segurança: todos ou nenhum
Chester Wisniewski, CTO de Pesquisa Aplicada de Campo da Sophos (Imagem: Sophos).
Muitos usuários usam o ChatGPT para produzir rapidamente conteúdo profissional ou promocional. Esse uso legítimo de ferramentas de linguagem de IA complica as respostas de segurança ao dificultar a identificação de exemplos criminosos.
Exemplo: Nem todos os e-mails contendo texto gerado pelo ChatGPT são maliciosos, então não podemos bloqueá-los completamente. Isso, até certo ponto, enfraquece nossa resposta de segurança. Como contramedida, os provedores de soluções de segurança podem desenvolver "pontos de confiança" ou outros indicadores que avaliam a probabilidade de uma mensagem ou e-mail, embora gerado por IA, ainda ser confiável. Eles também podem treinar modelos de IA para reconhecer texto criado com inteligência artificial e colocar um banner de "cuidado" em sistemas voltados para o usuário. Em certos casos, essa tecnologia pode filtrar as mensagens da caixa de entrada de e-mail do funcionário.
3. A fraude gerada por IA se tornará mais interativa
Espero que os programas de linguagem AI sejam usados ainda mais interativamente por criminosos no futuro para produzir e-mails de phishing ou mensagens únicas. Os golpistas podem usar essa tecnologia para manipular indivíduos por meio de bate-papo em tempo real.
Serviços de mensagens como WhatsApp, Signal ou Telegram são criptografados de ponta a ponta, portanto, essas plataformas não conseguem filtrar mensagens fraudulentas ou geradas por IA em canais privados. Isso pode torná-los muito atraentes para golpistas que perseguem suas vítimas nessas plataformas.
Por outro lado, esse desenvolvimento pode levar as organizações a reconfigurarem suas soluções de segurança. Pode ser necessário usar tecnologias de filtro em dispositivos finais de funcionários individuais.
Até que novas tecnologias se instalem, aplica-se o seguinte: desconfie de toda comunicação
As ferramentas de linguagem de IA fazem perguntas essenciais para o futuro da segurança cibernética. Descobrir o que é real está ficando mais difícil, e os desenvolvimentos futuros não estão tornando isso mais fácil. As tecnologias serão a principal arma contra o cibercrime impulsionado pela IA. Mas agora os funcionários precisam intervir e aprender a desconfiar de toda comunicação. Na era do ChatGPT, isso não é uma reação exagerada, é uma resposta crítica.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.