Mão segurando envelope branco contra um fundo verde claro
Unsplash/ecees

Phishing é uma técnica de fraude na qual golpistas enganam indivíduos para que revelem informações pessoais e sensíveis, como senhas e dados bancários, ao se passarem por entidades confiáveis. Esse método geralmente envolve o envio de mensagens, e-mails ou links que imitam comunicações de instituições legítimas, como bancos ou empresas conhecidas. Os ataques de phishing frequentemente utilizam engenharia social para criar uma sensação de urgência ou confiança, persuadindo as vítimas a fornecer informações confidenciais que serão usadas para roubo de identidade, fraude financeira ou outros crimes cibernéticos.

Mas a era dos golpistas que dependiam apenas de uma boa lábia e conhecimentos básicos acabou. Com o uso da IA generativa, phishers e spammers agora possuem um arsenal muito mais poderoso em suas mãos. O phishing com IA utiliza tecnologia para facilitar a execução de golpes em massa, tornando-os mais convincentes para as vítimas em potencial. E está funcionando. Nos últimos anos, a IA aprimorou e intensificou as táticas de phishing, permitindo que golpistas arrecadassem mais de US$ 2 bilhões apenas em 2022. Desde o quarto trimestre de 2022 (mesma época do lançamento do ChatGPT, da OpenAI), houve um aumento de 1265% em e-mails maliciosos de phishing, de acordo com a empresa de segurança cibernética SlashNext.

A disponibilidade da IA abrange desde cópias geradas por IA até ferramentas gratuitas para hackers, como o WormGPT – uma versão sombria da ferramenta OpenAI, ou sua contraparte paga FraudGPT, disponível na dark web. Ambas as ferramentas são IAs generativas sem salvaguardas e geram, sem hesitação, solicitações para criar e-mails de phishing, gerar códigos para falsificar sites específicos ou qualquer outra atividade nefasta.

Como acontece um ataque de phishing?

Um ataque de phishing tradicional geralmente começa com uma mensagem enganosa. O e-mail ou SMS parece, à primeira vista, ser de uma fonte legítima, como seu banco ou provedor de internet. Para evitar que você verifique a veracidade, essas mensagens costumam transmitir um senso de urgência, como “Sua fatura de julho está atrasada” no título.

O perigo reside no link ou anexo que, ao ser clicado ou baixado, leva você a um site falso ou instala software malicioso em seu dispositivo. Esse site falso ou software coleta informações sensíveis fornecidas, como credenciais de login, detalhes financeiros ou dados pessoais.

O atacante pode usar essas informações roubadas para diversos fins maliciosos, como roubo de identidade, fraude financeira ou acesso não autorizado a contas pessoais. Os ataques de phishing tradicionais dependem de técnicas de engenharia social para enganar as pessoas e fazê-las revelar informações confidenciais inadvertidamente.

Já em um ataque de phishing com IA, ferramentas de inteligência artificial são utilizadas para tornar os e-mails de phishing mais convincentes e personalizados. Um golpista pode usar algoritmos de IA para analisar vastas quantidades de dados sobre um segmento-alvo, como perfis de redes sociais, comportamento online e informações publicamente disponíveis, permitindo a criação de campanhas personalizadas para a vítima. A IA também pode facilmente gerar réplicas convincentes de sites legítimos, tornando difícil para o destinatário distinguir entre sites falsos e reais.

Os processos básicos entre o phishing tradicional e o “turbinado” com AI são semelhantes, mas o último quebra barreiras até então impensáveis. Aqui está como seria o uso de uma ferramenta como o WormGPT:

  1. Análise de dados: O atacante usa algoritmos e ferramentas como o WormGPT para vasculhar a internet em busca de grandes quantidades de dados sobre o grupo ou indivíduo-alvo. Isso inclui perfis de redes sociais, registros públicos e atividades online. O WormGPT pode analisar esses dados para entender interesses, comportamentos e preferências do alvo.
  2. Personalização: Com os dados coletados, a IA gera e-mails de phishing altamente personalizados. Esses e-mails podem fazer referência a compras recentes, hobbies ou eventos específicos na vida do alvo. Esse nível de personalização torna os e-mails mais legítimos e aumenta a probabilidade de a vítima cair no golpe.
  3. Criação de conteúdo: A IA é usada para gerar conteúdo de e-mail convincente que imita o estilo de escrita dos contatos do alvo ou instituições conhecidas. Isso ajuda a criar uma sensação de familiaridade e confiança, superando barreiras linguísticas.
  4. Escala e automação: Por fim, a IA facilita a ampliação das operações dos atacantes de forma eficiente. Eles podem gerar numerosos e-mails de phishing únicos em um curto período e usar a IA para segmentar uma ampla gama de indivíduos ou organizações, além de gerar códigos, auxiliar na automação de disparos de e-mails.

A regra 5/5

Recentemente, um grupo de engenheiros da IBM decidiu competir contra a IA para criar uma campanha de phishing. A descoberta foi surpreendente: a IA superou os humanos em um tempo incrivelmente curto. E desse experimento surgiu a regra 5/5.

A regra 5/5 estabelece que são necessários apenas 5 comandos e 5 minutos para criar uma campanha de phishing quase tão bem-sucedida quanto a criada pelos engenheiros da IBM. O que levava 16 horas para humanos tecnicamente avançados, a IA gerou em 5 minutos – e as ferramentas de IA tendem a se tornar mais rápidas e eficientes, possivelmente de forma exponencial. Os cinco comandos definidos pela IBM foram:

  1. Criar uma lista de preocupações para um [grupo específico] em uma [indústria específica].
  2. Escrever um e-mail utilizando técnicas de engenharia social.
  3. Aplicar técnicas de marketing comuns ao e-mail.
  4. Determinar quem deve receber o e-mail.
  5. Decidir de quem deve ser o remetente do e-mail.

Deepfakes com IA

Em um caso alarmante de fraude, um golpe de deepfake resultou na perda de US$ 25 milhões (cerca de R$ 139 milhões na cotação atual) por uma empresa multinacional com sede em Hong Kong. Golpistas usaram tecnologia avançada de deepfake para criar um vídeo convincente em que se passavam pelo CFO e outros executivos da empresa durante uma videoconferência. O funcionário enganado, acreditando estar interagindo com líderes da companhia, transferiu fundos para os golpistas antes de perceber a fraude.

O LastPass, popular serviço de gerenciamento de senhas, também foi alvo de um ataque sofisticado envolvendo deepfake. Na ocasião, criminosos usaram IA para criar uma réplica digital convincente da voz do CEO da companhia para tentar descobrir credenciais de acesso. Os golpistas utilizaram ligações, mensagens de texto e um mensagens de voz no WhatsApp simulando a voz do executivo. Felizmente, neste caso, a tentativa de fraude não teve êxito. O funcionário desconfiou da comunicação por se tratar de um canal incomum para contatos na empresa.

Estes exemplos ilustram dois pontos importantes:

  1. A IA é uma ferramenta poderosa em termos de deepfakes, não apenas com vídeo, mas também com texto, sites falsos, chamadas de voz e SMS.
  2. Destaca a importância das empresas educarem internamente seus funcionários para identificar e prevenir esse novo nível de ataque.

Os golpes de phishing com IA não precisam ser tão elaborados para serem eficazes. Vamos a um exemplo prático. Você recebe o seguinte e-mail de um endereço da sua lista de contatos:

Assunto: Redefinição de senha necessária

Prezado [Nome],

Detectamos um possível acesso não autorizado à sua conta, então, como medida de precaução, estamos redefinindo sua senha.

Por favor, use este link para criar uma nova senha.

Nossa equipe se esforça para manter sua conta e informações seguras. Se tiver alguma dúvida, basta responder a este e-mail e alguém da nossa equipe o assistirá.

Atenciosamente, [Equipe de Suporte]”

Esse e-mail parece legítimo? Se sim, você clica no link, que leva a uma página que parece ser da organização real. Parece real porque existem ferramentas de IA que podem copiar o design e o código de páginas da web com pouco ou nenhum esforço.

Ao clicar no link, é aberta uma página com um formulário despretensioso que pede para você digitar endereço de e-mail utilizado no login, senha atual, nova senha e confirmação da nova senha. Ao clicar no botão de “redefinir senha”, você está enviando seu e-mail de login e senha atual para os golpistas.

Toda a estrutura desse golpe leva cerca de 20 segundos para ser gerada com o ChatGPT, acessível para qualquer pessoa.

Como reconhecer tentativas de phishing com IA?

É crucial aprender a identificar os sinais. Procurar sinais de gramática ruim e erros contextuais não são mais técnicas confiáveis. Reconhecer tentativas de phishing com IA requer uma mudança de perspectiva, uma habilidade que deve ser aprimorada dada a rapidez com que a IA está se desenvolvendo e se integrando.

Agora, o primeiro passo deve ser validar diretamente a fonte. Domínios semelhantes, como quando um endereço de site golpista tem um “I” no lugar de um “l”, ainda podem ser registrados como domínios legítimos, mas o nome não será exatamente o mesmo. Verifique o URL e o domínio em relação ao domínio real da empresa. Se for um remetente desconhecido, é uma boa ideia sinalizar a mensagem para a equipe de segurança interna da sua empresa ou denunciá-la como spam no seu provedor de e-mail.

O DMARC não consegue defender contra domínios semelhantes, já que protege apenas o domínio onde a política de DMARC foi criada.

O phishing com IA é literalmente inteligente. Não importa se você acredita que a IA é ou pode ser senciente, ela tem a capacidade de “pensar” e iterar com base nos dados que coleta. Empresas precisam investir em programas de treinamento contínuo para os funcionários serem capazes de identificar ameaças online.