IA generativa: um prato cheio para hackers na engenharia social

O uso da engenharia social para tentar ter acesso a identidades pessoais e corporativas não é algo novo. Quem está na internet há anos, já se deparou com o famoso e-mail do príncipe da Nigéria dizendo que o usuário tinha uma grande quantia a receber e bastava responder à mensagem para ter acesso ao dinheiro.

Desde então, dicas relativamente simples eram capazes de ajudar a evitar que os golpes acontecessem: ter atenção à escrita da mensagem, ver se a logo realmente era igual à da companhia que a pessoa dizia ser, entre outros. Mas IA generativa chegou para facilitar a vida dos atacantes – e dificultar a proteção.

“Podemos falar das mais diversas variações de phishing, tanto via e-mail quanto via aplicativos de mensagens instantâneas ou de texto. E quando falamos de conscientização em segurança cibernética, uma das primeiras e principais dicas que é dada ao público em geral é como identificar um phishing. Normalmente, ela passa pela análise do texto, porque é muito comum que phishings contenham erros gramaticais e podem não ter coerência. Então, essa contramedida de analisar o texto é muito eficiente, ou melhor, era muito eficiente”, explica o diretor de engenharia da Fortinet Brasil, Alexandre Bonatti.

Entretanto, ele explica, como os hackers tentam ser cada vez mais efetivos, passam a usar a IA generativa justamente para escrever esse texto, que sai muito melhor e muito parecido com os textos que são escritos por empresas, instituições e órgãos oficiais. Ou seja, aquele primeiro filtro que a gente ensina para o público avaliar se há erros de grafia, gramática e coerência, se complica.

“Com o uso de IA, os textos possuem uma qualidade muito boa e acabam sendo mais efetivos. As pessoas acreditam que aquela comunicação, aquele link, aquele texto são reais, que é um link verdadeiro e os hackers conseguem o objetivo com mais facilidade. Aquele primeiro filtro de conscientização já não é mais efetivo. Então, sim, o principal uso é nas variações de tentativas de ataques usando a engenharia social”, revela ele.

De acordo com o engenheiro sênior de pesquisa da Tenable, Satnam Narang, a IA generativa ajuda a preencher a lacuna entre os esforços de engenharia social com uma gramática pobre que é propensa a erros e fornece aos invasores e golpistas scripts e iscas ideais que eles podem usar para atrair suas vítimas. Esta é a parte mais importante da IA generativa para ataques como phishing e golpes de mídia social.

Mas essa não é a única preocupação. O country manager Brasil da Netskope, Claudio Bannwart, nos últimos meses, foram observadas também a geração de áudios, imagens e vídeos falsos, que são usados para distribuir fake News e fisgar vítimas de ciberataques.

Leia mais: GlobalSign: fim do phishing é possível

“Os hackers estão usando cada vez mais a tecnologia de IA para criar códigos maliciosos e descobrir dados. O uso de ferramentas generativas, como o ChatGPT, permite que os hackers criem rapidamente diálogos sofisticados e realistas, que podem ser usados para criar e-mails de phishing convincentes e informações falsas. Soluções de segurança cibernética baseadas em IA também estão sendo empregadas por hackers para melhorar seu desempenho e realizar ataques”, complementa Bannwart.

Ainda assim, diz ele, é importante lembrar que os hackers exploram principalmente os meios tradicionais de vazamento de dados e pesquisas de código aberto. Ou seja, é fundamental que as empresas ampliem suas estratégias de proteção de dados para o uso da IA, mas continuem firmes nos esforços de proteção 360º, centrada nos dados – independentemente de onde estejam e como são acessados.

Gabriel Paiva, fundador e CEO da Dfense Security, afirma que há três principais formas do uso de IA Generativa pelo cibercrime:

• DarkBert: desenvolvido por uma empresa sul-coreana com o intuito de combater o cibercrime, porém foi apropriado por agentes mal-intencionados que utilizam a ferramenta. Ele é baseado em pesquisas de cunho acadêmico e criminosos podem basear-se nele para planejar novos ataques, escolhendo novas vítimas e setores que podem tornar-se possíveis alvos.
• DarkGPT: é um modelo GPT sem filtros, diferente do ChatGPT que possui barreiras para determinadas perguntas. Nesta ferramenta, um atacante pode perguntar por vulnerabilidades, exploração de códigos, pesquisas sobre um indivíduo, criar conteúdo de phishing e BEC (sigla para comprometimento de e-mail corporativo), este último com grandes riscos e com alvos de perfil elevado.
• WormGPT: esta talvez seja a ferramenta mais perigosa à disposição do cibercrime, já que com ela, um atacante pode realmente executar um ataque ainda contando com integrações de outras ferramentas. Ainda é preciso conhecimento técnico, mas sem dúvidas é uma ferramenta que pode ajudar criminosos em engenharia social e outras etapas de um ataque.

“Além de buscas para engenharia social, existem ferramentas para facilitar a codificação de malware e vejo que estamos nos aproximando de ferramentas que irão indicar brechas e Zero Days em determinada aplicação que um criminoso queira atacar. Hoje isso é realizado por um humano, um hacker mal-intencionado, ou, pelo lado da defesa, por um pentester, que busca por falhas para proteger empresas e pessoas”, frisa Paiva.

Como se proteger dos ataques e da engenharia social

“Esta é uma evolução do jogo de gato e rato que vemos ao longo dos anos sendo travado entre atacantes e defensores. Os invasores, neste caso, encontraram ferramentas que podem ajudá-los a melhorar a qualidade e a eficácia de seus ataques. Por outro lado, o trabalho do defensor permanece praticamente inalterado. Como a IA generativa é amplamente utilizada por invasores em ataques de engenharia social, as ferramentas defensivas utilizadas ainda são valiosas. A conscientização sobre segurança ainda é uma área de foco que deveria receber mais atenção para ajudar a abordar as melhorias na engenharia social por parte dos invasores”, resume Narang.

E se a IA generativa é importante para os hackers, ela também tem papel indispensável na cibersegurança. Segundo o executivo da Fortinet, hoje, quando um ataque ocorre, o prejuízo das empresas é mensurado por minuto que o ataque está acontecendo. Nesse sentido, é primordial que as empresas tenham processos, procedimentos e tecnologias que respondam àquele ataque de forma autônoma, ou seja, usar da inteligência artificial para uma resposta automatizada.

“O uso de IA na defesa cibernética é muito mais na automação e na eficiência, porque tira o papel humano dessa tarefa; quando dependemos de pessoas para detectar, mitigar e combater um ataque hacker o tempo de resposta se torna muito alto. E com o uso de IA automatizando essa resposta você passa a ter uma defesa incrivelmente mais eficiente. E os líderes podem direcionar os profissionais que antes ficavam simplesmente respondendo alertas, para questões e ações mais estratégicas da segurança cibernética da companhia, na política e nas diretrizes da cibersegurança como um todo, e não ficarão mais simplesmente respondendo a milhares de alertas em que a IA pode fazer de forma mais ágil”, diz Bonatti.

Por outro lado, pondera o CEO da Dfense Security, as empresas estão utilizando IA Generativa como um consultor, não efetivamente como prevenção, detecção e resposta. Ainda é muito caro utilizar essa tecnologia para proteção. Já existem modelos e arquiteturas prontas para criação de ferramentas, mas ainda não há amplo uso prático para proteção, apenas no uso de Inteligência de Ameaças.

“O maior desafio atual com IA Generativa é o custo e disponibilidade de hardware. Veja, para conseguir desenvolver ferramentas é necessário um grande investimento em GPU, como as placas da Nvidia, que estão sendo disputadas no mercado. A demanda está muito alta e as Big Techs já estão adquirindo uma fatia significativa, algo acima de 50% da produção, então mesmo grandes empresas estão com dificuldade de adquirir hardware para então iniciar projetos de IA Generativa, depois realizar testes, criar soluções e produtos efetivamente e só então disponibilizar no mercado”, revela ele.

De outro ângulo, o crime precisa de muito menos hardware, pois com uma só placa pode atacar um número incontável de empresas, enquanto empresas precisam de várias placas para se defender. É uma luta desigual, segundo o especialista. Usando uma analogia, o crime precisa de apenas um bandido para assaltar vários bancos, enquanto os bancos precisam de vários seguranças para proteger todas as suas agências.

Na opinião do executivo da Tenable, para empresas de médio a grande porte, a adoção de IA generativa e outras ferramentas já está presente ou chegará em breve. Para as pequenas empresas, a IA generativa pode não estar no topo da sua lista de prioridades. Também se resume ao valor agregado para certas empresas. Algumas empresas podem não ver o benefício direto em seu setor ou vertical específico. No entanto, à medida que mais ferramentas são desenvolvidas e existem casos de uso, a adoção aumentará.

Outro desafio, destacado por Banwnwart, é na implementação correta de IA e machine learning, incluindo processos internos não alinhados, que podem colocar os dados em risco. É fundamental que as empresas enfrentem estes desafios agora para implementar desde já as medidas ideais para o uso estratégico da IA, buscando as soluções que permitam a proteção de forma inteligente e que ao mesmo tempo atuem como mecanismo de defesa e de impulsionamento os negócios.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!