Phishing de última geração: a ascensão dos golpes de vishing com IA

Em cibersegurança, as ameaças online representadas pela IA podem ter impactos muito significativos em indivíduos e organizações em todo o mundo. Os golpes tradicionais de phishing evoluíram com o uso indevido de ferramentas de IA, tornando-se mais frequentes, sofisticados e difíceis de detectar a cada ano. O vishing por IA é talvez a mais preocupante dessas técnicas em evolução.

O que é AI Vishing?

O vishing de IA é uma evolução do phishing de voz (vishing), em que invasores se passam por indivíduos confiáveis, como representantes bancários ou equipes de suporte técnico, para enganar as vítimas e fazê-las realizar ações como transferir fundos ou entregar acesso às suas contas.

A IA aprimora golpes de vishing com tecnologias como clonagem de voz e deepfakes que imitam as vozes de pessoas confiáveis. Os invasores podem usar a IA para automatizar chamadas telefônicas e conversas, permitindo atingir um grande número de pessoas em um tempo relativamente curto.

Vishing de IA no mundo real

Os invasores usam técnicas de vishing de IA indiscriminadamente, visando todos, desde indivíduos vulneráveis ​​até empresas. Esses ataques têm se mostrado notavelmente eficazes, com o número de americanos perdendo dinheiro com vishing crescendo. 23%de 2023 a 2024. Para colocar isso em contexto, exploraremos alguns dos ataques de vishing de IA de maior visibilidade que ocorreram nos últimos anos.

Golpe empresarial italiano

No início do 2025, scammers usou IA para imitar a voz do Ministro da Defesa italiano, Guido Crosetto, em uma tentativa de enganar alguns dos líderes empresariais mais proeminentes da Itália, incluindo o estilista Giorgio Armani e o cofundador da Prada, Patrizio Bertelli.

Fingindo ser Crosetto, os agressores alegaram precisar de ajuda financeira urgente para a libertação de um jornalista italiano sequestrado no Oriente Médio. Apenas um alvo caiu no golpe neste caso – Massimo Moratti, ex-proprietário da Inter de Milão – e a polícia conseguiu recuperar os fundos roubados.

Hotéis e empresas de viagens sob cerco

De acordo com o eBook da Digibee Wall Street JournalNo último trimestre de 2024, houve um aumento significativo nos ataques de vishing com IA no setor de hospitalidade e viagens. Os invasores usaram IA para se passar por agentes de viagens e executivos corporativos para enganar a equipe da recepção do hotel, levando-a a divulgar informações confidenciais ou conceder acesso não autorizado aos sistemas.

Para isso, eles instruíram representantes de atendimento ao cliente, muitas vezes durante o horário de pico, a abrir um e-mail ou navegador com um anexo malicioso. Devido à notável capacidade de imitar parceiros que trabalham com o hotel por meio de ferramentas de IA, golpes por telefone eram considerados "uma ameaça constante".

Golpes de romance

Em 2023, foi fundada a atacantes usaram IA para imitar as vozes de familiares em perigo e aplicar golpes em idosos, roubando-lhes cerca de US$ 200,000. Chamadas fraudulentas são difíceis de detectar, especialmente para idosos, mas quando a voz do outro lado da linha soa exatamente como a de um membro da família, elas são quase indetectáveis. Vale ressaltar que este incidente ocorreu há dois anos — a clonagem de voz por IA se tornou ainda mais sofisticada desde então.

Vishing de IA como serviço

O Vishing como Serviço de IA (VaaS) tem contribuído significativamente para o crescimento do vishing de IA nos últimos anos. Esses modelos de assinatura podem incluir recursos de spoofing, prompts personalizados e agentes adaptáveis, permitindo que criminosos lancem ataques de vishing de IA em larga escala.

At fortra, temos monitorado a PlugValley, uma das principais empresas do mercado de Vishing como Serviço de IA. Esses esforços nos deram insights sobre o grupo de ameaças e, talvez mais importante, deixaram claro o quão avançados e sofisticados os ataques de vishing se tornaram.

PlugValley: IA VaaS descoberta

O bot de vishing da PlugValley permite que agentes de ameaças utilizem vozes realistas e personalizáveis ​​para manipular potenciais vítimas. O bot pode se adaptar em tempo real, imitar padrões de fala humana, falsificar identificadores de chamadas e até mesmo adicionar ruído de fundo de call center às chamadas de voz. Ele torna os golpes de vishing com IA o mais convincentes possível, ajudando cibercriminosos a roubar credenciais bancárias e senhas de uso único (OTPs).

A PlugValley remove barreiras técnicas para criminosos cibernéticos, oferecendo tecnologia antifraude escalável com o clique de um botão por assinaturas mensais nominais.

Provedores de IA VaaS como a PlugValley não estão apenas aplicando golpes; eles estão industrializando o phishing. Eles representam a mais recente evolução da engenharia social, permitindo que cibercriminosos usem ferramentas de aprendizado de máquina (ML) como armas e se aproveitem das pessoas em larga escala.

Proteção contra vishing de IA

Técnicas de engenharia social baseadas em IA, como o vishing de IA, devem se tornar mais comuns, eficazes e sofisticadas nos próximos anos. Consequentemente, é importante que as organizações implementem estratégias proativas, como treinamento de conscientização dos funcionários, sistemas aprimorados de detecção de fraudes e inteligência de ameaças em tempo real.

Em nível individual, as seguintes orientações podem ajudar a identificar e evitar tentativas de vishing de IA:

• Seja cético em relação a chamadas não solicitadas: Tenha cuidado com ligações telefônicas inesperadas, especialmente aquelas que solicitam informações pessoais ou financeiras. Organizações legítimas normalmente não solicitam informações confidenciais por telefone.
• Verifique a identidade do chamador: Se alguém alegar representar uma organização conhecida, verifique sua identidade de forma independente entrando em contato diretamente com a organização usando informações oficiais de contato.WIRED sugere criar uma senha secreta com sua família para detectar ataques de vishing alegando ser de um membro da família.
• Limitar o compartilhamento de informações: Evite divulgar informações pessoais ou financeiras durante ligações não solicitadas. Seja particularmente cauteloso se o interlocutor criar uma sensação de urgência ou ameaçar com consequências negativas.
• Eduque-se e aos outros: Mantenha-se informado sobre táticas comuns de vishing e compartilhe esse conhecimento com amigos e familiares. A conscientização é uma defesa crucial contra ataques de engenharia social.
• Denunciar chamadas suspeitas: Informe as autoridades competentes ou órgãos de proteção ao consumidor sobre tentativas de vishing. A denúncia ajuda a rastrear e mitigar atividades fraudulentas.

Ao que tudo indica, o vishing por IA veio para ficar. Na verdade, é provável que continue a aumentar em volume e a melhorar sua execução. Com a prevalência de deep-fakes e a facilidade de adoção de campanhas com modelos como serviço, as organizações devem antecipar que, em algum momento, serão alvo de um ataque.

A educação dos funcionários e a detecção de fraudes são essenciais para a preparação e prevenção de ataques de vishing por IA. A sofisticação do vishing por IA pode levar até mesmo profissionais de segurança bem treinados a acreditar em solicitações ou narrativas aparentemente autênticas. Por isso, uma estratégia de segurança abrangente e em camadas, que integre salvaguardas tecnológicas a uma força de trabalho constantemente informada e vigilante, é essencial para mitigar os riscos representados pelo phishing por IA.