Phishing e burlas tipo "Olá Pai, Olá Mãe" vão ficar mais convincentes com a ajuda da inteligência artificial

As tendências alinhadas pelas empresas de segurança para este ano colocam, sem exceção, a inteligência artificial no topo da lista das tecnologias com maior potencial para criar novos problemas, ou dar escala e sofisticação a problemas antigos. Algumas destas questões vão intensificar-se com o tempo, a médio prazo. Outras prometem criar dores de cabeça muito breve. Como é que isso pode afetá-lo a si ou à sua empresa nos próximos tempos? De várias formas e por isso vale a pena estar atento.

Um dos aspetos mais preocupantes está no facto de a IA trazer “uma camada adicional de credibilidade” a ameaças que já hoje provocam estragos em larga escala, como o phishing ou o ransomware, tornando-as mais difíceis de detetar e mais eficazes, admite Rui Shantilal, managing partner da Devoteam Cyber Trust.

“O phishing e o ransomware impulsionados por IA podem criar mensagens e solicitações altamente convincentes, muitas vezes difíceis de distinguir das comunicações legítimas”.

Permitem adaptar a linguagem, o estilo e até o conteúdo de uma mensagem com base nas informações recolhidas sobre as vítimas, tornando os ataques incrivelmente personalizados e mais difíceis de identificar. Rui Shantilal dá o exemplo das burlas conhecidas como “Olá mãe, olá pai”. Em breve, “vão ser muito mais sofisticados com a possibilidade de utilização da IA a simular voz e as imagens/vídeos” dos supostos filhos.

Deepfakes com imagens sexuais alastram em Portugal. Autores são muitas vezes conhecidos

Ver artigo

Esta história contada por uma mãe do Arizona (EUA), a um jornal local no ano passado relata algo idêntico. A mãe recebeu uma chamada com uma alegada tentativa de sequestro e pedido de resgate pela filha de 15 anos. Quando atendeu ouviu a voz da filha, aflita a pedir ajuda e logo a seguir a voz de um homem a pedir um resgate de 1 milhão de dólares. Não chegou a cair na fraude, porque conseguiu rapidamente perceber que a filha estava bem, mas o realismo da voz criada a partir de um programa artificial tinha tudo para a convencer.

No que toca aos esquemas de phishing, basta pensar que hoje já dão o mote para o envio de qualquer coisa como 3,4 mil milhões de mensagens diárias. Cada email tenta “pescar” a atenção de um utilizador mais desatento aos detalhes. Procura-se alguém que siga um link ou abra um ficheiro, a pensar que está a ver uma mensagem legítima, quando na verdade está a abrir a porta à instalação de software malicioso no computador para roubar dados ou preparar outros ataques.

Mesmo com as falhas que os textos destas mensagens ainda vão tendo, muitas vezes a vítima morde o isco e contribui para a estatística que diz que mais de um terço de todos brechas de segurança que alguém tem de resolver, partiram de um ataque de phishing.

Ao trazer ainda mais automação para estes esquemas, aliada a uma maior credibilidade, a IA pode aumentar dramaticamente o potencial de sucesso deste tipo de ataques. “Com a IA, esse processo é não apenas automatizado mas também otimizado. Algoritmos inteligentes podem analisar grandes conjuntos de dados para identificar os alvos mais prováveis e personalizar as tentativas de ataque, aumentando significativamente a taxa de sucesso”, explica Rui Shantilal.

Vale a pena dizer que em 2022, um relatório da Verizon já estimava que a cada 11 segundos era lançado um novo ataque de phishing ou ransomware. Outros dados mostravam que 53% dos emails de spear phishing (campanhas de phishing direcionadas) eram abertos vs 17% das mensagens de phishing sem personalização.

O relatório Cibersegurança em Portugal - Riscos e Conflitos 2023, do Centro Nacional para a Cibersegurança (onde constam os gráficos partilhados neste artigo) também destaca este tópico, alertando para a “utilização da IA como instrumento de acesso facilitado à cibercriminalidade”. O documento frisa os riscos do acesso cada vez mais generalizado a “instrumentos de criação de conteúdos através de IA, ao dispor do utilizador comum, por vezes de forma gratuita”. Também destaca a possibilidade destas ferramentas serem usadas para práticas maliciosas “sem necessidade de elevados conhecimentos técnicos, por parte de qualquer indivíduo”.

Ainda assim, em declarações ao SAPO TEK, o CNCS, defende que, “até ao momento, identifica-se de forma mais evidente na IA uma tendência tecnológica e o emergir de uma ameaça e não necessariamente o seu uso de forma generalizada por agentes de ameaça”.

Remetendo novamente para os dados que compilou no relatório, o CNCS identifica hoje sobretudo um acesso e utilização de instrumentos que facilitam intrusões e exploração de vulnerabilidades, para a criação de conteúdos que promovem a desinformação, por exemplo. Reconhece, ainda assim, que formas mais avançadas de IA podem “vir a ser cada vez mais utilizadas por agentes de ameaça mais sofisticados, como atores estatais ou cibercriminosos”.

Operação “Vera Cruz II”: PJ desmantela organização criminosa dedicada a phishing bancário

Ver artigo

Na opinião de Igor Unane, Technology & Innovation Director da S21sec, também é cedo para confirmar o real impacto que a utilização da inteligência artificial está a ter na cibersegurança, nomeadamente em temas como o phishing ou o ransomware, embora admita que as evidências do seu uso para fins cibercriminosos existam. “Ao tirar partido das capacidades de ferramentas como o ChatGPT ou o WormGPT, os atacantes estão a automatizar processos como a criação de emails mais credíveis ou a geração de código malicioso”, exemplifica o responsável, que aponta mais evidências.

O grupo de cibercriminosos GXC Team publicou recentemente em fóruns underground um anúncio da venda de uma nova ferramenta integrada com a IA. Este grupo é conhecido pelo desenvolvimento de ferramentas de fraude, dedicadas a comprometer as informações de pagamento em instituições financeiras. “A ferramenta que está a ser anunciada para venda é capaz de ler automaticamente emails através do acesso a contas de correio eletrónico comprometidas”, detalha Igor Unane. Permite detetar a presença de e-mails com faturas e substituir o IBAN utilizando a IA, automatizando ataques de Business Email Compromisse, em que uma mensagem de correio eletrónico de pagamento real a um fornecedor é substituída por uma semelhante com uma conta bancária diferente.

Quem leva vantagem no jogo do gato e do rato?

Numa área onde muito ainda está por descobrir e por explorar, a inteligência artificial também é uma arma a favor da cibersegurança. Da mesma forma que permite automatizar processos para criar sistemas de ataque mais eficientes, também permite automatizar processos de defesa e escalar a capacidade dos sistemas para procurar erros e falhas.

Isso está a ser feito. Mas, à data de hoje, quem ganha este jogo do gato e do rato? Para Igor Unane “são certamente os atacantes que têm a vantagem, pois estarão sempre à procura de novas formas de contornar as proteções e utilizar novas técnicas para enganar de forma mais eficiente as pessoas e obter o ganho pretendido”.

Quem ataca sempre inovou nas técnicas de ataque, à medida que sistemas e métodos de proteção foram melhorando, lembra o responsável da S21Sec. Aliado a isso, os pontos fracos continuarão a existir, quer sejam vulnerabilidades nos sistemas ou erros humanos. “Embora as tecnologias e os serviços de cibersegurança melhorem continuamente para proteger melhor esses pontos fracos, quem ataca encontrará sempre forma de o fazer”.

Para o responsável da S21Sec, “a questão é saber até que ponto este esforço compensa para os atacantes, mas no panorama atual compensa claramente”. Os grupos de cibercriminosos têm continuado a crescer e o número de ataques também continua a aumentar. Acontece o mesmo com os prejuízos associados. Calcula-se que em 2023 o cibercrime terá valido 8 biliões de dólares, mais do que o PIB do Japão.

Com tudo o que pode trazer de bom em muitas áreas, a IA reúne também vários ingredientes para ajudar a escalar ainda mais e mais depressa estes números. Outro fator determinante é a agilidade dos vários atores. Quem está do lado do crime normalmente “beneficia de estruturas menos formais e está mais disposto a arriscar, explorando vulnerabilidades de forma mais ágil e rápida”, lembra Rui Shantilal. Do outro lado da barricada estão organizações, com as suas estruturas mais formais, que muitas vezes não conseguem adaptar-se à novidade com a mesma agilidade.

É possível equilibrar os dois lados da balança?

Do lado do “bem”, as armas para tentar equilibrar os dois pratos desta balança passam pelo investimento contínuo na deteção de anomalias, em sistemas de autenticação multifatorial e na consciencialização contínua dos utilizadores, destaca o especialista. É preciso investir tempo e dinheiro na cibersegurança em permanência, de olhos no presente e no futuro.

Para já, “a possibilidade de criação de conteúdos através de IA generativa é um dos problemas mais imediatos”, que as ferramentas de IA estão a trazer à cibersegurança, defende o CNCS. “Este tipo de conteúdo pode ser usado para ações de engenharia social, com vista a ludibriar potenciais vítimas com textos e imagens falsos altamente enganadores”. Estas novas armas podem ser usadas nas tais campanhas de phishing mais sofisticadas ou noutras e potenciar a partilha de dados sensíveis ou gerar outros danos.

Mas mesmo com os riscos no horizonte é certo e claro que a IA veio para ficar e como referem as previsões da IDC, este ano será motivo de investimento em tecnologia para empresas de todos os sectores. As empresas que estão a investir nesta área querem tirar o melhor partido desses investimentos e potenciar o mais possível o seu valor, sem abrirem novas brechas nos seus sistemas de segurança.

O CNCS partilha oito recomendações que devem nortear esses investimentos, para que assim possa ser:

• Escolher produtos, serviços e fornecedores de IA que apliquem práticas de segurança por desenho (security by design), isto é, que considerem a segurança desde a raiz no desenvolvimento da IA;
• Garantir que o eventual uso de dados associados à IA cumpre os requisitos legais sobre a matéria, como o Regulamento Geral sobre a Proteção de Dados;
• Ser transparente perante colaboradores e clientes/cidadãos quanto ao uso da IA;
• Optar por IA que permita o acesso a uma explicação sobre o seu funcionamento, de modo a ser minimamente compreensível;
• Sensibilizar e formar para a cibersegurança os colaboradores responsáveis pela aplicação e uso da IA;
• Garantir o controlo humano da IA;
• Realizar avaliações de risco prévias às aplicações de IA que se pretende colocar no mercado, de modo a minimizar eventuais impactos negativo em direitos fundamentais e na segurança dos utilizadores;
• Seguir as boas práticas de cibersegurança em todos os domínios da organização e não apenas naqueles diretamente ligados à IA.

Este artigo integra um Especial que o SAPO TEK está a publicar ao longo desta semana sobre O lado "menos bonito" da inteligência artificial.