A engenharia social é a arte de manipular, influenciar ou enganar os usuários para obter controle sobre um sistema de computador
Por Paulo Pagliusi
A IA vem fazendo um progresso surpreendente, abrindo um novo mundo de possibilidades. Os criadores de IA recentemente permitiram sua adoção de uma forma incrivelmente rápida, equipando chatbots avançados de IA (como Bard e ChatGPT) com a interface de usuário mais simples conhecida: uma janela de texto para consultar a máquina com prompts.
Contudo, sob a perspectiva da segurança cibernética, a crescente popularidade dessas ferramentas generativas de IA introduziu uma escalada alarmante de ameaças de engenharia social.
Em artigo publicado em 29Nov23 pela TI Inside, verifica-se a probabilidade de que, em 2024, a engenharia social domine o cenário de ameaças e seja a tática predominante de infiltração usada em ataques cibernéticos.
Os principais canais para a engenharia social devem incluir: (i) aplicativos de mensagens; (ii) mídias sociais; (iii) chamadas telefônicas; (iv) mensagens de texto; e (v) e-mail. Neste cenário, os hackers devem usar ainda mais a Inteligência Artificial (IA) para a exploração rápida de vulnerabilidades e a extração automatizada de informações valiosas.
O Fator Humano
O fator humano é frequentemente considerado o elo fraco na segurança da informação. Com o avanço da engenharia social potencializada pela IA, essa fragilidade se torna mais evidente. Os cibercriminosos podem utilizar técnicas persuasivas e manipulativas para explorar os indivíduos e fazê-los comprometer a segurança de suas organizações.
Deste modo, a engenharia social potencializada pela IA representa um risco significativo para uma instituição. Essas tentativas enganosas podem levar os indivíduos de uma corporação a divulgar dados sigilosos, como senhas ou informações classificadas, ou a abrir links maliciosos que podem resultar em violações de segurança e exploração de ataques cibernéticos direcionados.
Como a IA pode fazer a Engenharia Social avançar
A engenharia social é a arte de manipular, influenciar ou enganar os usuários para obter controle sobre um sistema de computador. Agentes de ameaças, phishers (golpistas de phishing[1]) e engenheiros sociais – sendo eles próprios “empreendedores” – adotarão qualquer nova tática que lhes dê uma vantagem. Segundo a FORBES, há várias formas com que adversários podem aproveitar a IA para criar ataques avançados de engenharia social:
– Os ataques de phishing tradicionais chegam com muitos erros gramaticais. Os phishers muitas vezes não são falantes nativos da língua que utilizam para atacar as pessoas. Usando ferramentas de IA como o ChatGPT, os invasores podem redigir e-mails extremamente sofisticados – com correção gramatical e ortográfica adequada – que parecem como se um humano os escrevesse, neutralizando o modo usual de percepção deste tipo de ataque pela incidência de erros de redação.
– A IA pode ajudar a criar deep fakes (vídeos sintéticos e identidades virtuais falsas) que parecem muito realistas. Os golpistas podem imitar uma pessoa real (um executivo sênior, um cliente, um parceiro de negócios etc.), envolver a vítima em uma conversa e fazer com que ela revele informações confidenciais, realize transações financeiras ou espalhe desinformação.
– Os agentes de ameaças podem clonar fala e áudio humanos para realizar tipos avançados de ataques de phishing por voz (“vishing“). A Comissão Federal de Comércio (FTC, na sigla em inglês) alertou sobre golpistas que usam tecnologia de clonagem de voz por IA para se passar por familiares e enganar vítimas para transferir dinheiro, a pretexto de sanar uma emergência familiar.
– Ferramentas de IA também podem ser usadas como uma ferramenta para phishing. Por exemplo, usando uma técnica complexa chamada Injeção Indireta de Prompt, os pesquisadores manipularam com sucesso um chatbot do Bing para se passar por um funcionário da Microsoft e, em seguida, gerar mensagens de phishing que solicitavam informações de cartão de crédito dos usuários.
– Usando agentes autônomos, bem como scripts inteligentes e outras ferramentas de automação, os agentes de ameaças podem realizar ataques de engenharia social altamente direcionados em escala industrial. Por exemplo, eles podem automatizar as etapas envolvidas, desde a seleção do alvo até a entrega do e-mail de phishing, passando por uma resposta semelhante à humana em um chat de conversação ou em um telefonema.
– A IA também pode improvisar a partir de seus próprios aprendizados (distinguindo entre o que funciona e o que não funciona) e evoluir suas próprias táticas inteligentes de phishing em busca do melhor caminho a seguir.
O que as empresas podem fazer para se proteger desse risco emergente?
Os ataques cibernéticos baseados em IA provavelmente piorarão significativamente nos próximos cinco anos. Seguir as práticas abaixo recomendadas pode ajudar as corporações a mitigarem o risco de ataques de engenharia social baseados em IA:
– Treine usuários para detectar engenharia social.
O elemento humano é a peça mais crítica em um ataque de engenharia social. É fundamental que os usuários desenvolvam uma forma saudável de ceticismo e memória “muscular”, por meio de treinamento regular, testes de phishing e exercícios de simulação, para que os usuários aprendam a identificar, bloquear e relatar ações suspeitas logo quando estas surgem.
De acordo com o estudo de benchmarking da empresa KnowBe4, os usuários que passam mais horas em treinamento de segurança mostram uma taxa de sucesso significativamente maior se defendendo contra phishing, em comparação com aqueles que recebem menos prática.
A porcentagem de usuários que são vítimas de golpes de engenharia social cai de 32,4% para 5%, após um treinamento mensal regular realizado por um ano, como o de conscientização em segurança e resistência a phishing para evitar danos causados por crimes cibernéticos, realizado pela nossa empresa, a Pagliusi inteligência em Cibersegurança.
– Implante controles de segurança baseados em IA.
Implemente ferramentas de segurança que aproveitem alguma forma de tecnologia de IA para analisar, detectar e responder a formas avançadas de engenharia social. Por exemplo, ferramentas que usam IA para inspecionar o conteúdo, o contexto e os metadados de todas as mensagens e URLs (na web, bate-papo e e-mail) para detectar sinais reveladores de phishing.
A IA pode ajudar a coletar e processar grandes quantidades de dados de várias fontes e aplicar modelos de aprendizado de máquina para detectar atividades não autorizadas e movimentos de ataques laterais. A IA pode ajudar na resposta a incidentes cortando a rede, isolando dispositivos infectados, notificando administradores, coletando evidências e restaurando backups.
– Implemente uma autenticação mais forte.
Uma solução de segurança que quase todo especialista em segurança recomenda é a autenticação multifatorial (MFA, na sigla em inglês). O MFA é uma ótima maneira de impedir que um invasor assuma a conta de uma vítima, mesmo que as credenciais dela tenham sido comprometidas.
As evidências revelam que as próprias soluções tradicionais de MFA são propensas à engenharia social. É por isso que é importante investir em MFA resistente a phishing, para que nenhuma IA nem um adversário humano possam aplicar engenharia social no MFA de uma vítima.
A tecnologia de IA vem avançando tão rapidamente que os hackers estão desenvolvendo seus próprios aplicativos de IA personalizados, projetados especificamente para levar a engenharia social para o próximo nível.
As corporações devem, portanto, ficar atentas e considerar uma abordagem aprofundada de defesa cibernética – uma combinação de ferramentas de segurança baseadas em IA (uma arma secreta contra a engenharia social), coaching/treinamento, processos e procedimentos – porque a IA é bem capaz de criar uma engenharia social com superpoderes.
[1] Phishing é uma técnica de crime cibernético que usa fraude e engano para manipular as vítimas para que cliquem em links maliciosos ou divulguem informações pessoais confidenciais.
Sobre Paulo Pagliusi
Paulo Pagliusi é Sócio Executivo da Pagliusi Inteligência em Cibersegurança. Ph.D. in Information Security pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP e pós-graduado em Análises de Sistemas pela PUC – Rio. Capitão-de-Mar-e-Guerra da reserva remunerada da Marinha, possui certificação internacional CISM (Certified Information Security Manager).
Atualmente, exerce também os cargos de Diretor da ISACA Rio de Janeiro Chapter e de Pesquisador Sênior de TIC – Segurança Cibernética – Futuro da Defesa, no Laboratório de Simulações e Cenários (LSC) da Escola de Guerra Naval, tendo sido ao longo da carreira CIO da Apex-Brasil, Sócio de Technology Risk da KPMG e Diretor de Cyber Risk da Deloitte. É considerado um dos consultores mais renomados do País em gestão estratégica de TI e riscos tecnológicos, área em que atua há mais de 30 anos, ajudando clientes globais a avaliar, gerenciar e superar riscos emergentes em seus negócios.
Com experiência acadêmica como professor de graduação e pós-graduação, em instituições como IBMEC, PUC-Rio, Marinha do Brasil e Universidade Damásio, é articulista ativo e autor de livro sobre autenticação criptográfica na Internet. É um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos no Brasil e no exterior, e concedido mais de 100 entrevistas a mídias nacionais e internacionais.
Acompanhe a Coluna de Paulo Pagliusi aqui no Crypto ID!
[paulo@pagliusi.com.br | www.pagliusi.com.br]
O Mundo Depois de Nós – Visão de um Cibercombatente
Monitoramento de microfone, webcam e publicidade na Internet
Internet das Coisas: um Plano de Ação para o Brasil – Aspectos de Segurança