Entre em contato

A IA pode escrever um e-mail de phishing mais convincente do que os humanos?

Cíber segurança

A IA pode escrever um e-mail de phishing mais convincente do que os humanos?

mm
Publicado

O processamento de linguagem natural e os recursos avançados de tradução tornam a IA generativa uma ferramenta inestimável para hackers. No entanto, e-mails de phishing gerados por IA podem não ser mais perigosos do que conteúdo fraudulento gerado por humanos. O que os usuários e profissionais de segurança devem saber sobre o papel da IA ​​no phishing e nos ataques cibernéticos?

Como a IA escreve e-mails de phishing

Conteúdo de phishing denunciado aumentou 61% desde 2021 até 2022. De URLs maliciosos a golpes de e-mail, o phishing está se tornando cada vez mais comum a cada ano. A IA é a ferramenta mais recente que os hackers estão adotando para promover campanhas de phishing. Embora o processamento de linguagem natural da IA ​​seja benéfico, os hackers podem aproveitá-lo para criar conteúdo de phishing mais eficaz.

A disponibilidade de plataformas AI-as-a-Service, como o ChatGPT, torna mais fácil do que nunca para qualquer pessoa gerar conteúdo. Um hacker pode mostrar a um grande modelo de linguagem AI milhares de exemplos de e-mails legítimos e, em seguida, solicitar que ele crie e-mails originais com base neles. O processamento de linguagem natural (NLP) permite que a IA compreenda e recrie conteúdo escrito realista — uma ferramenta perfeita em ataques de phishing.

Idealmente, a IA gera um e-mail original que imita um e-mail escrito por humanos. O hacker pode solicitar que personalize a mensagem para incluir detalhes sobre uma determinada empresa, pessoa ou local. A IA pode até traduzir a mensagem para um idioma diferente. Os hackers podem criar e-mails de phishing totalmente originais e personalizados em poucos momentos, permitindo que eles evitem a reciclagem de um e-mail malicioso entre muitos alvos.

Os e-mails de phishing gerados por IA são eficazes? 

As possibilidades de phishing com IA podem parecer intimidadoras, mas elas são mais perigosas do que o conteúdo de phishing criado por humanos? As vantagens dos e-mails de phishing gerados por IA se resumem principalmente a fluxos de trabalho mais eficientes para hackers.

Estudos de pesquisa anteriores mostraram e-mails de phishing gerados por IA são igualmente convincentes como e-mails de phishing gerados por humanos. Os hackers também são limitados em seu acesso às plataformas AI–as-a-Service. A maioria dos grandes desenvolvedores - incluindo OpenAI - tem salvaguardas para evitar aplicativos ilegais de modelos de IA. 

As principais vantagens da IA ​​para hackers de phishing são eficiência e linguagem. Usar IA para gerar e-mails fraudulentos é mais rápido do que escrevê-los manualmente, permitindo que os hackers criem uma variedade maior de e-mails de phishing. Além disso, eles podem atingir vítimas em qualquer lugar do mundo, graças às ferramentas de tradução de IA facilmente acessíveis com recursos de NLP.

Portanto, os e-mails de phishing gerados por IA aumentam o risco de ataques de phishing, mas podem não ser necessariamente mais convincentes do que o conteúdo gerado por humanos.

Como se defender contra phishing gerado por IA

AI é uma ferramenta útil para hackers, mas não é infalível. A tecnologia de segurança e os usuários também podem aprimorar suas estratégias de defesa à medida que os ataques de phishing ficam mais inteligentes. Os usuários devem começar por se manter atualizados sobre bandeiras vermelhas de conteúdo de phishing, pois eles permanecerão relevantes mesmo com e-mails gerados por IA.

Embora possa ficar mais difícil detectar e-mails de phishing rapidamente, algumas etapas de segurança podem minimizar ou eliminar o potencial de phishing causar danos. Além disso, novas tecnologias de detecção podem detectar e-mails maliciosos escritos por IA e por humanos.

Alternar para armazenamento em nuvem

Mudar para armazenamento em nuvem é uma ótima maneira de minimizar a ameaça de e-mails de phishing e ataques cibernéticos. A natureza isolada do armazenamento de dados convencional o torna altamente vulnerável à exploração por hackers. Tudo o que um hacker precisa fazer é obter o controle de um disco rígido ou servidor, e eles podem manter todos os dados de alguém como reféns.

O armazenamento em nuvem evita essa ameaça. Como os dados não estão vinculados a nenhum dispositivo específico, é muito mais difícil para os hackers excluir ou danificar qualquer informação. A segurança cibernética baseada em nuvem também pode melhorar a resiliência a tentativas de hackers.

Por exemplo, os usuários podem implementar varreduras de vulnerabilidade automatizadas para encontrar pontos fracos em sua nuvem segurança. Isso é ótimo para impedir que hackers usem backdoors ou credenciais roubadas para acessar dados na nuvem. Mesmo que o façam, será difícil para eles controlar todos os dados totalmente, já que o armazenamento em nuvem é tão disperso.

Crie um Sistema de Verificação DIY

Uma solução DIY para ajudar a impedir mensagens de phishing de qualquer tipo é estabelecer um sistema de código entre correspondentes confiáveis. Isso pode incluir pessoas como família, amigos e colegas de trabalho. Sempre que os membros do grupo enviam e-mails uns aos outros, eles podem escrever uma frase de código específica para verificar se a mensagem é realmente deles.

Este sistema de código não precisa ser excessivamente complicado. A ideia é simplesmente adicionar um fator aos e-mails que um hacker ou uma IA não poderia saber de antemão com segurança. Crie uma frase de código incomum para que seja improvável que seja encontrada com frequência nos e-mails de treinamento de uma IA.

Por exemplo, o código pode ser o nome de um assentamento fantasma, como “Agloe, Nova York”. É improvável que assentamentos fantasmas apareçam com frequência em e-mails, pois são lugares fictícios simplesmente adicionados a mapas para fins de direitos autorais.

Use a detecção de phishing por IA

Os hackers não são os únicos que usam IA para inovar sua metodologia. Usuários e profissionais de segurança podem aproveitar modelos de IA para detectar conteúdo de phishing, seja um humano ou uma IA que o escreva.

Por exemplo, os desenvolvedores podem usar o aprendizado de máquina para monitorar e rastrear a comunicação natural padrões de correspondências de e-mail legítimos. Se a IA pudesse aprender rapidamente o estilo de comunicação único de um indivíduo, poderia reconhecer e-mails falsos que não correspondem. Isso se aplica independentemente de um ser humano ou IA ter escrito o e-mail.

Um dos maiores pontos fortes do phishing com IA também é uma grande falha. Os hackers podem criar e-mails falsos críveis com eficiência com IA, mas o estilo de comunicação desses e-mails não pode ser personalizado com eficiência. Um hacker geralmente não possui conhecimento técnico ou recursos para treinar uma IA para replicar com precisão o estilo de escrita de uma pessoa específica. Os modelos de IA de detecção de phishing podem aproveitar essa fraqueza para defender os usuários.

Compreendendo o risco de phishing com tecnologia de IA

A IA pode ser uma ferramenta valiosa para hackers ao criar e-mails de phishing. No entanto, os e-mails gerados por IA não são necessariamente mais convincentes do que o conteúdo de phishing gerado por humanos. As principais bandeiras vermelhas de phishing – como chamadas urgentes para ação – permanecem relevantes independentemente de quem ou o que está criando o e-mail de phishing. Usuários e profissionais de segurança podem adotar técnicas e tecnologias inovadoras para proteger seus dados de campanhas de phishing com tecnologia de IA.

Tópicos relacionados:
mm

Zac Amos é um escritor de tecnologia com foco em inteligência artificial. Ele também é o editor de recursos da Rehackear, onde você pode ler mais de seu trabalho.