O e-mail é o maior vetor de ameaças. Porém, vemos cada vez mais a necessidade de incluir redes sociais, mensagens de texto e chamadas de voz na educação de cibersegurança. Por que? Porque a inteligência artificial generativa (GenAI) está transformando a engenharia social e os perpetradores de ameaças estão utilizando-a para imitar pessoas ou personalidades.
Os atacantes podem utilizar a inteligência artificial generativa para criar imagens, texto, áudio e vídeo e promover fraudes convincentes para roubar dados pessoais, financeiros ou confidenciais. Eles podem automatizar suas operações e aumentar suas chances de sucesso. Eles também podem expandir e distribuir seus ataques por uma variedade de canais, como aplicativos de mensagens, plataformas de redes sociais, chamadas telefônicas e, naturalmente, e-mail.
Pesquisas do último relatório State of the Phish da Proofpoint revelaram que 58% das pessoas que executaram uma ação arriscada em 2023 sabiam que seu comportamento as estava colocando em risco. Isso nos leva a uma questão fundamental: ao receber uma mensagem — seja instantânea, privada, virtual ou de e-mail — você pode ter 100% de confiança de que o remetente é quem ele alega ser? Não em um mundo onde os atacantes utilizam inteligência artificial generativa.
Nesta postagem abordamos quatro maneiras pelas quais os perpetradores de ameaças utilizam essa tecnologia poderosa para enganar pessoas.
- Fraudes conversacionais convincentes
- Conteúdo deepfake realista
- Ataques de comprometimento de e-mail comercial (BEC) personalizados
- Postagens e perfis falsos automatizados
1: Fraudes conversacionais convincentes
Os perpetradores de ameaças utilizam inteligência artificial generativa para criar fraudes conversacionais altamente convincentes que imitam interações humanas. Modelos de processamento de linguagem natural (NLP) ajudam a gerar mensagens personalizadas. Modelos de NLP populares incluem redes neurais recorrentes (RNN), à base de transformadores (como GPT-3) e de sequência a sequência.
Embora as iscas utilizadas pelos atacantes variem, todas têm como objetivo iniciar uma conversa com o destinatário e ganhar sua confiança. Os perpetradores de ameaças podem interagir com uma vítima durante semanas ou meses para construir um relacionamento com o objetivo de convencer essa pessoa a enviar dinheiro, investir em uma plataforma falsa de criptomoedas, compartilhar informações financeiras ou realizar alguma outra ação.
Como isso funciona?
Os perpetradores de ameaças coletam grandes conjuntos de dados em conversas baseadas em texto de fontes como redes sociais, aplicativos de mensagens, logs de chat, violações de dados e interações de atendimento ao cliente. Eles utilizam os conjuntos de dados para treinar modelos de NLP para compreender e gerar textos semelhantes aos escritos por seres humanos quando algo é perguntado. Os modelos aprendem a reconhecer padrões, compreender o contexto e gerar respostas que soam naturais.
Uma vez treinado um modelo de NLP, os perpetradores de ameaças podem utilizar o modelo para gerar mensagens baseadas em texto para enganar suas vítimas. As conversas podem imitar padrões de linguagem ou identidades específicas ou gerar respostas adaptadas a cenários de fraude comuns. Isso as torna difícil para as pessoas distinguir entre comunicações legítimas e falsas em plataformas sociais como Instagram, aplicativos de mensagens como WhatsApp e sites de encontros como Tinder.
Como a Proofpoint pode ajudar a lidar com esse risco
O Proofpoint Security Awareness oferece conteúdo educacional oportuno sobre tendências de ameaças. Isso inclui uma campanha de duas semanas com treinamento, como o “Attack Spotlight: fraudes conversacionais”, que ensina os usuários a reconhecer e a evitar essas fraudes.
2: Conteúdo deepfake realista
Os perpetradores de ameaças podem usar inteligência artificial generativa para criar deepfakes que mostram pessoas dizendo ou fazendo coisas que elas nunca disseram ou fizeram. Os atacantes utilizam modelos avançados de autoaprendizagem (ML) para criar um conteúdo falso altamente realista que lembra a aparência, a voz e os trejeitos de uma pessoa.
Como isso funciona?
Os perpetradores de ameaças coletam um conjunto de dados de imagens, gravações de áudio ou vídeos da pessoa cuja semelhança se deseja imitar. Eles utilizam o conjunto de dados para treinar o modelo de inteligência artificial generativa para criar um conteúdo falso, como imagens ou vídeos. O modelo pode avaliar a autenticidade de seu próprio conteúdo.
Um modelo popular é o Generative Adversarial Network (GAN). Ele pode produzir progressivamente deepfakes mais convincentes refinando e otimizando seus métodos. Ele pode, por exemplo, ajustar parâmetros do modelo, aumentar o conjunto de dados de treinamento ou fazer ajustes finos no processo de treinamento. Para aprimorar ainda mais o realismo do deepfake, os atacantes podem utilizar técnicas de pós-processamento, como ajustar iluminação e cores ou adicionar imperfeições sutis.
Deepfakes podem ser ferramentas poderosas em cenários maliciosos. Por exemplo, os atacantes podem utilizar deepfakes de voz para se fazerem passar por amigos ou familiares. Um exemplo é uma fraude telefônica popular — também conhecida como “Alô mamãe” — na qual um perpetrador de ameaças finge ser o filho ou neto de uma pessoa e pede dinheiro para uma emergência.
Tal como uma impressão digital, cada pessoa tem uma impressão vocal única. Os perpetradores de ameaças podem recolher dados biométricos de uma pequena amostra de mídia, como correios de voz, vídeos gravados e podcasts para imitar a voz de uma pessoa com inteligência artificial generativa.
Como a Proofpoint pode ajudar a lidar com esse risco
Temos uma campanha completa de conscientização quanto à segurança sobre tendências de deepfake que inclui vídeos breves de treinamento, um jogo interativo e um artigo do tipo “As 3 coisas...”. Também emitimos alertas de ameaças quando os analistas da Proofpoint detectam um ataque de deepfake alarmante, como em uma fraude financeira ocorrida recentemente, no primeiro trimestre, em Hong Kong.
3: Ataques de BEC personalizados
Em nosso relatório 2024 State of the Phish, observamos que a inteligência artificial generativa provavelmente está ajudando os perpetradores de ameaças com ataques de BEC, especialmente em países não falantes de inglês. Os ataques de BEC estão em alta em países como Japão, Coreia e Emirados Árabes Unidos, antes evitados pelos atacantes devido à barreiras do idioma, diferenças culturais ou falta de visibilidade.
As fraudes de BEC costumam envolver táticas de impostura. Os perpetradores de ameaças fingem ser pessoas idôneas, como executivos de empresas. Eles tentam induzir os funcionários a realizar ações inseguras, como transferir dinheiro ou revelar dados confidenciais.
Agora, os perpetradores de ameaças podem usar inteligência artificial generativa para aprimorar esses ataques. Eles podem, por exemplo, escrever em vários idiomas de maneira convincente. Eles também podem melhorar a qualidade das mensagens, além de gerá-las mais rapidamente.
Como isso funciona?
A inteligência artificial generativa aprende padrões e relacionamentos em um conjunto de dados de conteúdo criado por seres humanos e seus respectivos rótulos. Em seguida, ele utiliza os padrões aprendidos para gerar conteúdo novo. Com inteligência artificial generativa, os atacantes podem acelerar e automatizar a criação de mensagens de engenharia social personalizadas para cada destinatário — e altamente convincentes.
Por exemplo, os malfeitores podem usar inteligência artificial generativa para escrever textos e e-mails falsos que imitem o estilo, o tom e a assinatura da vítima da impostura. Eles podem usar o modelo de inteligência artificial para automatizar a criação dessas mensagens de phishing e gerar rapidamente um grande volume delas, adaptadas especificamente para os destinatários visados. Isso torna difícil avaliar a autenticidade das mensagens.
Nisso, os deepfakes também podem ajudar. Os perpetradores de ameaças podem agregar validade a suas solicitações falsas com mensagens de voz, chamadas de voz ou mensagens em vídeo subsequentes falsificadas que pareçam ser de um executivo de uma empresa dando instruções ou autorizando transações.
Como a Proofpoint pode ajudar a lidar com esse risco
Nós nos concentramos em conscientização de segurança em relação a BEC e oferecemos centenas de elementos de conteúdo, como vídeos interativos, humor ao vivo e animações de um minuto. Os analistas de ameaças da Proofpoint informam nossos alertas de ameaças semanais sobre os ataques de BEC encontrados na Internet, como desvios de folha de pagamento e faturas fraudulentas.
4: Postagens e perfis falsos automatizados
Nós discutimos como a inteligência artificial generativa gera imagens, áudios e vídeos realistas de pessoas reais. Malfeitores também podem utilizar modelos de inteligência artificial para criar identidades falsas para fins de impostura em redes sociais e plataformas de notícias. Eles também podem utilizar modelos de inteligência artificial para automatizar a criação de grandes volumes de contas, artigos, gráficos, comentários e postagens falsos.
Como isso funciona?
Com o mínimo de treinamento, modelos de inteligência artificial generativa podem analisar perfis de redes sociais e dados disponíveis publicamente e adaptar essas informações a casos de uso específicos. Os modelos podem:
- Imitar o estilo e o tom de comunicações legítimas de fontes confiáveis
- Traduzir e adaptar texto para diversos idiomas
- Lidar com tarefas repetitivas, como responder a mensagens
Os perpetradores de ameaças podem utilizar identidades falsas que aparentem ter os mesmos interesses que suas vítimas. Por exemplo, eles podem automatizar o processo de criação de perfis em plataformas como Facebook, Instagram, fóruns de sites e aplicativos de encontros. Eles também podem usar modelos de inteligência artificial para processar dados rapidamente em conversas de redes sociais e escrever automaticamente respostas convincentes. O objetivo deles é estabelecer um leque amplo de relacionamentos através dos quais possam explorar as vulnerabilidades e a confiança das pessoas.
Com inteligência artificial, os perpetradores de ameaças também podem realizar essas atividades maliciosas em grande escala. Isso aumenta suas chances de sucesso com objetivos como disseminar desinformação e influenciar discussões on-line.
Como a Proofpoint pode ajudar a lidar com esse risco
O Proofpoint Security Awareness oferece treinamento contínuo sobre engenharia social, juntamente com avisos oportunos de analistas sobre impostura em redes sociais. Nosso material inclui artigos e vídeos atuais sobre como evitar e não se deixar enganar por perpetradores de ameaças, além de alertas de ameaças semanais sobre ataques recentes ao GitHub, LinkedIn e X.
Obtenha o seu kit gratuito! A inteligência artificial generativa requer uma educação multifacetada
Em todos esses cenários, os malfeitores utilizam inteligência artificial generativa para fingir — de forma realista e convincente — serem alguém que não são. Eles manipulam a psicologia humana com engenharia social. E isso leva as pessoas a executar ações inseguras, como clicar em links maliciosos, fornecer informações pessoais ou fazer transferências bancárias.
É essencial abordar a educação de segurança com uma mentalidade crítica e se manter informado sobre ameaças emergentes e contramedidas. Ensinar aos usuários os riscos da inteligência artificial generativa requer uma abordagem multifacetada para conscientização quanto à segurança. A educação é particularmente importante para funcionários que lidam com transações financeiras ou dados confidenciais.
Na Proofpoint, nós utilizamos nossa inteligência sobre ameaças líder do setor para criar treinamento de segurança, materiais e simulações de phishing em torno de ameaças do mundo real. Nós fornecemos educação através de uma estrutura de aprendizagem adaptável que segue uma escala progressiva e contínua — de hábitos básicos a conceitos avançados. Essa abordagem ajuda a assegurar que as pessoas sejam treinadas nos tópicos e no nível de dificuldade mais apropriados para suas necessidades.
Nós abordamos os tópicos de destaque em deepfakes e fraudes conversacionais em nosso kit gratuito do Mês de conscientização quanto à cibersegurança de 2024, portanto, não deixe de conferir.