Como reduzir os riscos da influência negativa da IA na engenharia social

Os empregadores precisam conscientizar seus funcionários sobre os riscos e treiná-los para que desenvolvam uma intuição de segurança

Créditos: kjpargeter/ Freepik/ SvetaZi/ iStock

Stu Sjouwerman 4 minutos de leitura

A engenharia social é, de longe, a ameaça predominante na indústria cibernética. De acordo com o relatório de violação de dados da Verizon, três quartos das violações ocorridas no último ano (74%) envolveram o elemento humano.

Mas é muito provável que esse número seja ainda maior se analisarmos as causas por trás dos golpes online, ataques de ransomware, roubo de credenciais, desvio de MFA, sequestro de RDP, ataques APT e outros.

Os cibercriminosos acumularam cerca de US$ 50 bilhões apenas com golpes de comprometimento de e-mails corporativos (BEC) – uma pequena fração das fraudes de engenharia social.

A tecnologia de IA generativa, como o ChatGPT, tem inúmeros casos de uso empresarial – escrever conteúdo, revisar textos, realizar pesquisas, ajudar a identificar públicos-alvo, responder a e-mails, emular um certo estilo de escrita, traduzir textos, entre muitas outras coisas.

Mas o que acontece quando agentes maliciosos se aproveitam dessas capacidades para criar mensagens de phishing altamente convincentes, direcionadas e automatizadas em grande escala? Isso é exatamente o que já está acontecendo. Logo após o lançamento do ChatGPT, pesquisadores relataram um aumento de mais de 1000% no número de e-mails de phishing.

USO DE IA GENERATIVA NA ENGENHARIA SOCIAL

A IA generativa tem diversos usos na engenharia social. Abaixo estão alguns exemplos recentes:

1. Criação de ataques de phishing altamente convincentes e direcionados

As mensagens de phishing tradicionais tinham alguns sinais de alerta óbvios – erros ortográficos, gramaticais ou saudações genéricas. Algumas vítimas conseguiam identificar o golpe graças a um estilo de escrita diferente ou um modo de comunicação inesperado.

Mas isso mudou com a IA generativa. Com ela, os criminosos podem criar mensagens gramaticalmente perfeitas, imitar o estilo de escrita de alguém, falsificar uma voz ou gerar um vídeo falso.

2. Uso de deepfakes para enganar as vítimas

Deepfakes nada mais são do que áudios, vídeos ou imagens sintéticas criadas para enganar. Lembra como o ator Harrison Ford parecia jovem no último filme de Indiana Jones? O problema é que essa mesma tecnologia está disponível gratuitamente para qualquer pessoa usar para fins maliciosos.

Crédito: Rawpixel

Recentemente, um funcionário do departamento financeiro de uma empresa multinacional foi induzido a transferir US$ 25 milhões para cibercriminosos. A vítima chegou a suspeitar do golpe, mas após uma videochamada com pessoas que pareciam e soavam como seus colegas, ele foi convencido.

Incidentes semelhantes estão acontecendo em todo o mundo, mostrando como a IA está potencializando ataques de engenharia social.

3. Reconhecimento e construção de listas de alvos

A inteligência artificial é capaz de analisar rapidamente grandes conjuntos de dados sobre demografia, históricos de trabalho, atividades nas redes sociais, registros de saúde e vazamentos de senhas. As informações extraídas são então usadas para identificar alvos com base em características específicas, como idade, ocupação, interesses, faixa de renda e atividade.

Engenheiros sociais e agentes maliciosos podem criar campanhas de engenharia social e desinformação hiperpersonalizadas em grande escala.

COMO AS ORGANIZAÇÕES PODEM SE PROTEGER

A maioria dos ataques de engenharia social é difícil de detectar. Com a chegada da IA, esses ataques estão prestes a se tornar muito mais perigosos e convincentes.

Aqui estão algumas recomendações que podem ajudar as organizações a reduzir os riscos da inteligência artificial na engenharia social.

1. Desenvolver o instinto de segurança dos funcionários

A engenharia social funciona a partir da manipulação humana, não tecnológica. Portanto, para lidar com o problema, é necessário fortalecer o instinto de segurança.

Através de treinamentos regulares, comunicação, testes de simulação de phishing e políticas de segurança, as organizações podem treinar seus funcionários para seguir sua intuição para detectar anomalias e reconhecer um golpe de engenharia social.

2. Atualizar políticas e processos

Tenha políticas e processos claros em vigor para lembrar e reforçar aos funcionários a necessidade de permanecerem vigilantes online. Mostre como a IA está evoluindo e como pode ser usada para criar mensagens de phishing.

Explique que eles sempre devem verificar a autenticidade das solicitações, especialmente quando grandes transações estão envolvidas. Reporte as atividades suspeitas às equipes de segurança e defina protocolos para casos de ameaça ou violação.

3. Usar ferramentas avançadas de segurança cibernética

Embora os ataques de engenharia social nem sempre possam ser interrompidos, eles podem ser bloqueados até certo ponto. As organizações podem usar autenticação multifator para impedir um ataque, mesmo quando os cibercriminosos têm acesso às credenciais do usuário. Adotar uma política de “confiança zero” em relação à segurança pode reduzir consideravelmente os riscos.


SOBRE O AUTOR

Stu Sjouwerman é fundador e CEO da KnowBe4, plataforma integrada de segurança, treinamento e simulação de ações de phishing. saiba mais