VB, 04/02/2025
Enquanto líderes empresariais e especialistas discutem e debatem sobre o ciclo de hype da IA, cibercriminosos têm estado ocupados lançando ataques devastadores impulsionados por inteligência artificial. Ataques de engenharia social gerados por IA — incluindo phishing e comprometimento de e-mails corporativos — aumentaram drasticamente, com ferramentas de código aberto como ChatGPT (e suas contrapartes maliciosas, GhostGPT, FraudGPT e WormGPT) oferecendo a fraudadores sem experiência técnica um novo campo de atuação para criar ataques. Eles estão desenvolvendo ataques sofisticados e incrivelmente convincentes em larga escala, visando o vetor de segurança mais vulnerável de qualquer empresa: os humanos, em todos os níveis da organização.
"Os humanos são os endpoints mais vulneráveis e mais valiosos dentro de uma organização", afirma Evan Reiser, CEO da Abnormal Security. "A segurança convencional foca na proteção da infraestrutura, mas, enquanto houver interações humanas nos negócios — especialmente quando envolvem informações sensíveis — esses humanos continuarão sendo pontos vulneráveis que atacantes podem explorar. E agora, isso se tornou muito mais fácil com ferramentas de IA."
Para vencer a nova geração de ataques gerados por IA, o mundo precisa de algumas coisas, segundo Reiser. Primeiro, um entendimento profundo dos tipos de ataques de engenharia social que estão ocorrendo agora e no futuro — desde e-mails de phishing altamente personalizados e bem escritos até deepfakes sofisticados que imitam interações humanas quase perfeitamente. Segundo, uma nova abordagem baseada no comportamento para deter essas ameaças, pois as ferramentas atuais de detecção simplesmente não foram projetadas para identificar ataques de e-mail altamente convincentes e realistas. E, por fim, são necessárias soluções que operem em velocidade de máquina para detectar e se defender, algo cada vez mais importante em uma era onde a escassez de talentos em segurança cresce a cada dia.
IA maliciosa e o crescimento da engenharia social
Os principais crimes cibernéticos hoje visam canais de e-mail — o phishing é a principal causa de violações, e a engenharia social é a principal responsável por perdas financeiras, afirma Reiser.
"Se você quer ser um engenheiro social ou um golpista de phishing, a IA é a melhor ferramenta já criada para isso", explica ele. "O ChatGPT pode escrever a mensagem perfeita porque entende como as empresas funcionam e consegue fazer suposições muito precisas sobre, por exemplo, a linguagem usada pelo setor de contas a pagar para desviar pagamentos. Além disso, pode facilmente personalizar essa comunicação para cada alvo específico."
Além disso, os tipos de ataques que antes levavam horas para serem elaborados agora podem ser criados em segundos. A sofisticação e riqueza dessas ameaças nunca foi tão alta, pois agora são geradas por modelos de linguagem de grande escala (LLMs) treinados com uma ampla gama de informações humanas disponíveis na internet. Essas ferramentas fornecem um enorme contexto crítico sobre como as pessoas trabalham, como alguém em um determinado cargo e setor responderia a diferentes situações e muito mais.
"Essas ferramentas de IA possuem restrições — por exemplo, elas não vão te ensinar a roubar dinheiro de um banco", afirma Reiser. "Mas se você disser: 'Sou um funcionário preso no exterior e preciso urgentemente alterar minhas informações de pagamento', o ChatGPT ajudará a escrever uma mensagem convincente que pode ser utilizada de forma maliciosa."
No passado, criminosos investiam muito tempo pesquisando e perfilando manualmente os alvos mais valiosos e vulneráveis. Agora, a IA permite que isso seja feito em grande escala. Com o crescimento simultâneo das redes sociais, basta inserir um perfil do LinkedIn em um modelo de IA para obter instantaneamente um panorama do papel da pessoa, seus interesses, contatos e muito mais — informações que ajudam os criminosos a planejar e executar ataques com ainda mais eficácia.
Mantendo a Vulnerabilidade Humana no Centro da Estratégia de Segurança
As ferramentas de IA mais populares hoje são os LLMs, que geram texto, então não é surpreendente que e-mails e mensagens fraudulentas estejam aumentando rapidamente. No entanto, outras formas de geração maliciosa de mídia estão surgindo, incluindo deepfakes. Estamos prestes a entrar em um mundo onde avatares deepfake impulsionados por IA poderão participar de reuniões no Zoom, fingindo ser um executivo de confiança.
Além disso, a geração de imagens está melhorando a cada dia, e estamos chegando a um ponto em que parte desse conteúdo – seja texto, imagens ou vídeo – se tornará indistinguível para os humanos, afirma Reiser. Os vídeos estão quase nesse nível, tornando-se cada vez mais interativos e em tempo real. Embora esses avanços sejam positivos para os “mocinhos”, é importante lembrar que toda inovação tecnológica traz consigo o risco de exploração por agentes mal-intencionados.
Eventualmente, qualquer tipo de mídia utilizada por humanos se tornará um possível veículo para ataques. Os métodos de ataque estão mudando, com criminosos cibernéticos focando menos em quebrar firewalls e mais em usar táticas de engano para manipular as pessoas. O futuro do crime cibernético envolverá menos tempo atacando infraestruturas e mais tempo explorando o comportamento humano por meio de engenharia social, auxiliada por ferramentas como a IA.
Isso tem grandes implicações para a segurança, pois abordagens tradicionais focadas em perímetro não serão mais eficazes. Você pode bloquear um endereço IP, mas não pode bloquear e-mails, chamadas telefônicas ou reuniões no Zoom e ainda operar um negócio de forma eficiente.
“Os humanos são inerentemente acessíveis, mas também são inerentemente enganáveis”, diz Reiser. “Ainda precisamos de pessoas para executar muitas tarefas de conhecimento porque, ao contrário dos robôs, os humanos podem fazer julgamentos e tomar decisões com nuances. Infelizmente, esse julgamento também pode ser influenciado e explorado por técnicas de engenharia social. Você pode corrigir seu firewall e seus servidores, mas não pode ‘corrigir’ os seres humanos.”
A ascensão da IA está impulsionando uma nova onda de ataques cibernéticos, mas também oferece uma oportunidade única para os defensores. Na batalha contra a IA maliciosa, as organizações precisam usar IA de forma estratégica para proteger melhor a vulnerabilidade humana.
Detectando Anomalias Comportamentais em Escala
A tecnologia deepfake ainda está em desenvolvimento e, atualmente, muitos de nós conseguimos diferenciar um ser humano real de um deepfake por meio de pistas físicas. Você pode identificar um deepfake do seu colega de trabalho no Zoom, por exemplo, porque conhece seus padrões de fala, tom e maneirismos. No entanto, à medida que os deepfakes se tornam mais sofisticados, detectar esses sinais se tornará cada vez mais difícil – e já estamos chegando a esse ponto.
Isso significa que a defesa precisará buscar anomalias mais sutis no comportamento, como verificar se nosso "colega de trabalho" está aparecendo no Zoom em um horário em que normalmente estaria online ou se ele costuma participar desse tipo de reunião.
“Estamos aplicando a mesma abordagem para ataques por e-mail hoje”, acrescenta Reiser. “Se um e-mail contiver um indicador conhecido de comprometimento – como um endereço IP malicioso, um anexo perigoso ou um link suspeito – ele pode ser automaticamente detectado e filtrado por ferramentas tradicionais. Mas a IA maliciosa muda esse jogo, permitindo que adversários criem e-mails direcionados que eliminam esses indicadores completamente e passam despercebidos.”
Isso exige um novo tipo de solução que leia sinais comportamentais em vez de apenas sinais de ameaça, comparando-os com uma linha de base comportamental estabelecida para cada contato conhecido dentro e fora da organização. É aqui que a IA desempenha um papel crucial, servindo como um motor para detectar e analisar anomalias comportamentais com precisão – interrompendo ataques antes que atinjam seus alvos.
Essa abordagem, que usa IA para detectar anomalias comportamentais e proteger pessoas, tem sido altamente eficaz no combate a ataques sofisticados de e-mail, tanto humanos quanto gerados por IA. E o e-mail é apenas o começo – há um enorme potencial para expandir a segurança comportamental baseada em IA para um conjunto muito mais amplo de casos de uso de segurança, em uma escala que analistas humanos não conseguiriam acompanhar sozinhos.
Enquanto os humanos são bons em reconhecer padrões, eles lidam com uma quantidade relativamente pequena de dados. Em uma empresa com 100.000 funcionários, nenhum profissional de segurança poderia conhecer todas essas pessoas, o que fazem, como trabalham ou com quem interagem –, mas a IA pode. Ela pode aplicar o mesmo nível de intuição e reconhecimento de padrões que os humanos usam, mas em escala de big data, tomando decisões com velocidade de máquina.
“É uma abordagem extremamente eficaz e já vimos sucesso na segurança de e-mails, bem como em outras áreas adjacentes”, afirma Reiser. “Por isso, mesmo que pareça haver pessimismo em torno do lado sombrio da IA, eu me sinto otimista sobre seu potencial a longo prazo e como ela pode transformar a maneira como combatemos o crime cibernético.”
Preenchendo a Lacuna do Mercado de Trabalho com Segurança Baseada em IA
Essas novas ferramentas de IA comportamental não apenas reduzem o risco para as pessoas, mas também assumem grande parte do trabalho tedioso que antes era delegado aos humanos, como vasculhar arquivos de log e processar dados. Isso libera uma quantidade significativa de tempo para as equipes de operações de segurança, algo fundamental para a indústria de cibersegurança no momento. Em um mundo onde milhões de vagas na área de segurança permanecem abertas – enquanto os ataques cibernéticos se tornam mais avançados – precisamos de tecnologia para preencher essa lacuna e impulsionar um futuro mais seguro para todos.
“Para chegar lá, precisamos que todas as empresas sejam seguras, não apenas uma ou duas que podem gastar mais dinheiro em soluções de segurança”, afirma Reiser. “A IA é essencial não apenas para deter novos ataques, mas também para nos ajudar a fazer a transição para um paradigma mais sustentável de segurança em nível civilizacional.”
Artigos recomendados: Comportamento e Emoções
Nenhum comentário:
Postar um comentário