Engenharia social alimentada por IA: ameaças reinventadas
As bases para ataques de engenharia social, manipulação de humanos, podem não ter mudado muito ao longo dos anos. São os vetores, como essas técnicas são implantadas, que estão evoluindo. E como a maioria das indústrias hoje em dia, a IA está acelerando sua evolução.
Este artigo explora como essas mudanças estão impactando os negócios e como os líderes de segurança cibernética podem responder.
Ataques de representação: usando uma identidade confiável
As formas tradicionais de defesa já estavam lutando para resolver a engenharia social, a “causa da maioria das violações de dados”, de acordo com a Thomson Reuters. A próxima geração de ataques cibernéticos e agentes de ameaças alimentados por IA agora podem lançar esses ataques com velocidade, escala e realismo sem precedentes.
O método antigo: Máscaras de silicone
Ao se passarem por um ministro do governo francês, dois fraudadores conseguiram extrair mais de € 55 milhões de várias vítimas. Durante as videochamadas, um deles usava uma máscara de silicone de Jean-Yves Le Drian. Para adicionar uma camada de credibilidade, eles também se sentaram em uma recriação de seu gabinete ministerial com fotos do então presidente François Hollande.
Mais de 150 figuras proeminentes foram contatadas e pediram dinheiro para pagamentos de resgate ou operações antiterroristas. A maior transferência feita foi de € 47 milhões, quando o alvo foi solicitado a agir por causa de dois jornalistas presos na Síria.
A nova maneira: deepfakes de vídeo
Muitas das solicitações de dinheiro falharam. Afinal, máscaras de silicone não conseguem replicar completamente a aparência e o movimento da pele de uma pessoa. A tecnologia de vídeo de IA está oferecendo uma nova maneira de intensificar essa forma de ataque.
Vimos isso no ano passado em Hong Kong, onde os invasores criaram um deepfake em vídeo de um CFO para realizar um golpe de US$ 25 milhões. Eles então convidaram um colega para uma videoconferência. Foi aí que o deepfake CFO persuadiu o funcionário a fazer a transferência multimilionária para a conta dos fraudadores.
Chamadas ao vivo: phishing de voz
O phishing de voz, geralmente conhecido como vishing, usa áudio ao vivo para aproveitar o poder do phishing tradicional, em que as pessoas são persuadidas a fornecer informações que comprometem sua organização.
O método antigo: chamadas telefônicas fraudulentas
O invasor pode se passar por alguém, talvez uma figura de autoridade ou alguém de outra origem confiável, e fazer uma ligação telefônica para um alvo.
Eles acrescentam um senso de urgência à conversa, solicitando que um pagamento seja feito imediatamente para evitar resultados negativos, como perder o acesso a uma conta ou perder um prazo. As vítimas perderam uma média de US$ 1.400 para essa forma de ataque em 2022.
A nova maneira: clonagem de voz
As recomendações tradicionais de defesa contra vishing incluem pedir às pessoas que não cliquem em links que vêm com solicitações e retornar a ligação para a pessoa em um número de telefone oficial. É semelhante à abordagem Zero Trust de Never Trust, Always Verify. Claro, quando a voz vem de alguém que a pessoa conhece, é natural que a confiança ignore quaisquer preocupações de verificação.
Esse é o grande desafio com a IA, com os invasores agora usando tecnologia de clonagem de voz, frequentemente tirada de apenas alguns segundos de um alvo falando. Uma mãe recebeu uma ligação de alguém que havia clonado a voz de sua filha, dizendo que ela seria sequestrada e que os invasores queriam uma recompensa de US$ 50.000.
E-mail de phishing
A maioria das pessoas com um endereço de e-mail já ganhou na loteria. Pelo menos, elas receberam um e-mail dizendo que ganharam milhões. Talvez com uma referência a um rei ou príncipe que pode precisar de ajuda para liberar os fundos, em troca de uma taxa inicial.
O jeito antigo: borrifar e rezar
Com o tempo, essas tentativas de phishing se tornaram muito menos eficazes, por vários motivos. Elas são enviadas em massa com pouca personalização e muitos erros gramaticais, e as pessoas estão mais cientes dos “golpes 419” com suas solicitações para usar serviços específicos de transferência de dinheiro. Outras versões, como usar páginas de login falsas para bancos, geralmente podem ser bloqueadas usando proteção de navegação na web e filtros de spam, além de educar as pessoas para verificar a URL de perto.
No entanto, o phishing continua sendo a maior forma de crime cibernético. O Internet Crime Report 2023 do FBI descobriu que phishing/spoofing foi a fonte de 298.878 reclamações. Para dar algum contexto, a segunda maior (violação de dados pessoais) registrou 55.851 reclamações.
A nova maneira: conversas realistas em escala
A IA está permitindo que agentes de ameaças acessem ferramentas perfeitas ao aproveitar LLMs, em vez de depender de traduções básicas. Eles também podem usar a IA para lançá-las para vários destinatários em escala, com personalização permitindo a forma mais direcionada de spear phishing.
Além disso, eles podem usar essas ferramentas em vários idiomas. Isso abre as portas para um número maior de regiões, onde os alvos podem não estar tão cientes das técnicas tradicionais de phishing e do que verificar. A Harvard Business Review alerta que “todo o processo de phishing pode ser automatizado usando LLMs, o que reduz os custos de ataques de phishing em mais de 95%, ao mesmo tempo em que atinge taxas de sucesso iguais ou maiores”.
Ameaças reinventadas significam reinventar defesas
A segurança cibernética sempre esteve em uma corrida armamentista entre defesa e ataque. Mas a IA adicionou uma dimensão diferente. Agora, os alvos não têm como saber o que é real e o que é falso quando um invasor está tentando manipular:
- Confiança, ao se passar por um colega e pedir a um funcionário que ignore os protocolos de segurança para informações confidenciais
- Respeito pela autoridade, fingindo ser o CFO de um funcionário e ordenando que ele conclua uma transação financeira urgente
- O medo, ao criar uma sensação de urgência e pânico, significa que o funcionário não pensa em considerar se a pessoa com quem está falando é genuína
Essas são partes essenciais da natureza humana e do instinto que evoluíram ao longo de milhares de anos. Naturalmente, isso não é algo que pode evoluir na mesma velocidade que os métodos de atores maliciosos ou o progresso da IA. As formas tradicionais de conscientização, com cursos on-line e perguntas e respostas, não são construídas para essa realidade alimentada por IA.
É por isso que parte da resposta, especialmente enquanto as proteções técnicas ainda estão sendo desenvolvidas, é fazer com que sua força de trabalho experimente ataques simulados de engenharia social .
Porque seus funcionários podem não se lembrar do que você disse sobre se defender de um ataque cibernético quando ele ocorrer, mas eles se lembrarão de como isso os faz sentir. Para que, quando um ataque real acontecer, eles saibam como responder.
Fonte e imagens: https://thehackernews.com/2025/02/ai-powered-social-engineering.html
