Os cibercriminosos estão explorando ferramentas de IA como o ChatGPT para criar ataques de phishing mais convincentes, alarmando os especialistas em segurança cibernética

Se você notou um aumento no número de e-mails suspeitos no último ano, isso pode ser em parte devido a um de nossos chatbots de IA favoritos - ChatGPT. Eu sei - muitos de nós tivemos conversas íntimas e privadas nas quais aprendemos sobre nós mesmos com o ChatGPT e não queremos acreditar que o ChatGPT ajudaria a nos enganar.

De acordo com a empresa de segurança cibernética SlashNext, o ChatGPT e seus parceiros de IA estão sendo usados ​​para enviar e-mails de phishing em um ritmo acelerado. O relatório baseia-se na experiência da empresa em ameaças e entrevistou mais de trezentos profissionais de segurança cibernética na América do Norte. Ou seja, afirma-se que os e-mails de phishing maliciosos aumentaram 1.265% - especificamente phishing de credenciais, que aumentou 967% - desde o quarto trimestre de 2022. O phishing de credenciais tem como alvo suas informações pessoais, como nomes de usuário, IDs, senhas ou pins pessoais, personificando um pessoa, grupo ou organização confiável por meio de e-mails ou canal de comunicação semelhante.

Atores maliciosos estão usando ferramentas generativas de inteligência artificial, como o ChatGPT, para redigir mensagens de phishing refinadas e direcionadas especificamente. Além do phishing, as mensagens de comprometimento de e-mail comercial (BEC) são outro tipo comum de golpe cibercriminoso, com o objetivo de fraudar as finanças das empresas. O relatório conclui que estas ameaças alimentadas pela IA estão a aumentar a uma velocidade vertiginosa, crescendo rapidamente em volume e em quão sofisticadas são.

O relatório indica que os ataques de phishing atingiram em média 31.000 por dia e aproximadamente metade dos profissionais de segurança cibernética entrevistados relataram ter recebido um ataque BEC. Quando se trata de phishing, 77% desses profissionais relataram ter recebido ataques de phishing.

Os especialistas avaliam

O CEO da SlashNext, Patrick Harr, afirmou que essas descobertas “solidificam as preocupações sobre o uso de IA generativa, contribuindo para um crescimento exponencial do phishing”. Ele elaborou que a tecnologia generativa de IA permite que os cibercriminosos aumentem a rapidez com que lançam ataques, ao mesmo tempo que aumentam a variedade de seus ataques. Eles podem produzir milhares de ataques de engenharia social com milhares de variações – e você só precisa cair em um.

Harr continua apontando o dedo para o ChatGPT, que teve um crescimento significativo no final do ano passado. Ele postula que os bots de IA generativos tornaram muito mais fácil para os novatos entrarem no jogo de phishing e scam, e agora se tornaram uma ferramenta extra no arsenal daqueles mais habilidosos e experientes - que agora podem escalar e direcionar seus ataques mais facilmente. Essas ferramentas podem ajudar a gerar mensagens mais convincentes e redigidas de forma persuasiva que os golpistas esperam que phishing as pessoas imediatamente.

Chris Steffen, diretor de pesquisa da Enterprise Management Associates, confirmou isso ao falar à CNBC, afirmando: “Já se foram os dias do 'Príncipe da Nigéria'”. Ele continuou expandindo que os e-mails agora “soam extremamente convincentes e legítimos”. Os maus atores imitam e personificam outros de forma persuasiva em tom e estilo, ou até mesmo enviam correspondência com aparência oficial que parece ser de agências governamentais e prestadores de serviços financeiros. Eles podem fazer isso melhor do que antes, usando ferramentas de IA para analisar os escritos e informações públicas de indivíduos ou organizações para personalizar suas mensagens, fazendo com que seus e-mails e comunicações pareçam reais.

Além do mais, há evidências de que essas estratégias já estão gerando retornos para os maus atores. Harr refere-se ao Relatório de Crimes na Internet do FBI, onde é alegado que os ataques BEC custaram às empresas cerca de 2,7 mil milhões de dólares, juntamente com 52 milhões de dólares em perdas devido a outros tipos de phishing. O núcleo principal é lucrativo e os golpistas estão ainda mais motivados a multiplicar seus esforços de phishing e BEC.

O que será necessário para subverter as ameaças

Alguns especialistas e gigantes da tecnologia recuam, com Amazon, Google, Meta e Microsoft prometendo que realizarão testes para combater os riscos de segurança cibernética. As empresas também estão aproveitando a IA de forma defensiva, usando-a para melhorar seus sistemas de detecção, filtros e outros. Harr reiterou que a pesquisa do SlashNext, no entanto, ressalta que isso é completamente justificado, uma vez que os cibercriminosos já estão usando ferramentas como o ChatGPT para realizar esses ataques.

SlashNext encontrou um BEC específico em julho que usava ChatGPT, acompanhado por WormGPT. WormGPT é uma ferramenta de crime cibernético divulgada como “uma alternativa black hat aos modelos GPT, projetada especificamente para atividades maliciosas, como a criação e lançamento de ataques BEC”, de acordo com Harr. Outro chatbot malicioso, FraudGPT, também está circulando. Harr diz que o FraudGPT foi anunciado como uma ferramenta “exclusiva” feita sob medida para fraudadores, hackers, spammers e indivíduos semelhantes, ostentando uma extensa lista de recursos.

Parte da pesquisa da SlashNext tem sido no desenvolvimento de “jailbreaks” de IA, que são ataques engenhosamente projetados contra chatbots de IA que, quando inseridos, causam a remoção das proteções de segurança e legalidade dos chatbots de IA. Esta é também uma importante área de investigação em muitas instituições de investigação relacionadas com IA.

Como empresas e usuários devem proceder

Se você acha que isso pode representar uma séria ameaça profissional ou pessoal, você está certo - mas nem tudo é impossível. Os especialistas em segurança cibernética estão se esforçando e pensando em maneiras de combater e responder a esses ataques. Uma medida que muitas empresas realizam é ​​a educação e o treinamento contínuos dos usuários finais para verificar se os funcionários e usuários estão realmente sendo pegos por esses e-mails.

O aumento do volume de e-mails suspeitos e direcionados significa que um lembrete aqui e ali pode não ser mais suficiente, e as empresas agora terão que praticar persistentemente a conscientização de segurança entre os usuários. Os usuários finais também devem ser não apenas lembrados, mas incentivados a denunciar e-mails que pareçam fraudulentos e discutir suas preocupações relacionadas à segurança. Isso não se aplica apenas às empresas e à segurança de toda a empresa, mas também a nós, como usuários individuais. Se os gigantes da tecnologia quiserem que confiemos em seus serviços de e-mail para nossas necessidades pessoais de e-mail, eles terão que continuar construindo suas defesas dessa maneira.

Além dessa mudança cultural em negócios e firmas, Steffen também reitera a importância de ferramentas de filtragem de e-mail que possam incorporar recursos de IA e ajudar a impedir que mensagens maliciosas cheguem até mesmo aos usuários. É uma batalha perpétua que exige testes e auditorias regulares, pois as ameaças estão sempre evoluindo e, à medida que as capacidades do software de IA melhoram, o mesmo acontece com as ameaças que os utilizam.

As empresas têm de melhorar os seus sistemas de segurança e nenhuma solução única pode resolver completamente todos os perigos representados pelos ataques de e-mail gerados pela IA. Steffen afirma que uma estratégia de confiança zero pode ajudar a preencher lacunas de controle causadas pelos ataques e ajudar a fornecer defesa para a maioria das organizações. Os usuários individuais deveriam estar mais atentos à possibilidade de serem vítimas de phishing e enganados, porque ela aumentou.

Pode ser fácil ceder ao pessimismo em relação a esses tipos de questões, mas podemos ser mais cautelosos em relação ao que escolhemos clicar. Reserve um momento extra, depois outro, e verifique todas as informações - você pode até pesquisar o endereço de e-mail do qual recebeu um e-mail específico e ver se mais alguém teve problemas relacionados a ele. É um mundo de espelhos complicado online e cada vez mais vale a pena manter o bom senso.