Próxima Geração de Phishing: O Surgimento de Golpes de Vishing com IA

Na cibersegurança, as ameaças online impostas pela IA podem ter impactos muito materiais em indivíduos e organizações em todo o mundo. Os golpes de phishing tradicionais evoluíram por meio do abuso de ferramentas de IA, tornando-se mais frequentes, sofisticados e difíceis de detectar a cada ano que passa. O vishing com IA é talvez a técnica mais preocupante dessas evoluções.

O que é Vishing com IA?

O vishing com IA é uma evolução do phishing de voz (vishing), onde os atacantes se passam por indivíduos de confiança, como representantes de bancos ou equipes de suporte técnico, para enganar as vítimas a realizar ações como transferir fundos ou conceder acesso a suas contas.

A IA melhora os golpes de vishing com tecnologias que incluem clonagem de voz e deepfakes que imitam as vozes de indivíduos de confiança. Os atacantes podem usar a IA para automatizar chamadas telefônicas e conversas, permitindo que eles visem um grande número de pessoas em um período de tempo relativamente curto.

Vishing com IA no Mundo Real

Os atacantes usam técnicas de vishing com IA de forma indiscriminada, visando todos, desde indivíduos vulneráveis até empresas. Esses ataques provaram ser notavelmente eficazes, com o número de americanos que perdem dinheiro com vishing aumentando 23% de 2023 para 2024. Para colocar isso em perspectiva, exploraremos alguns dos golpes de vishing com IA mais conhecidos que ocorreram nos últimos anos.

Golpe de Negócios Italiano

No início de 2025, golpistas usaram a IA para imitar a voz do Ministro da Defesa italiano, Guido Crosetto, em uma tentativa de enganar alguns dos principais líderes de negócios da Itália, incluindo o designer de moda Giorgio Armani e o co-fundador da Prada, Patrizio Bertelli.

Se passando por Crosetto, os atacantes alegaram precisar de assistência financeira urgente para a libertação de um jornalista italiano sequestrado no Oriente Médio. Apenas um alvo caiu no golpe neste caso – Massimo Moratti, ex-proprietário do Inter de Milão – e a polícia conseguiu recuperar os fundos roubados.

Hotéis e Empresas de Viagens sob Cerco

De acordo com o Wall Street Journal, o último trimestre de 2024 viu um aumento significativo nos ataques de vishing com IA ao setor de hospedagem e viagens. Os atacantes usaram a IA para se passar por agentes de viagens e executivos corporativos para enganar o pessoal da recepção dos hotéis a divulgar informações sensíveis ou conceder acesso não autorizado a sistemas.

Eles fizeram isso direcionando representantes de serviço ao cliente ocupados, muitas vezes durante as horas de pico de operação, para abrir um e-mail ou navegador com um anexo malicioso. Devido à capacidade notável de imitar parceiros que trabalham com o hotel por meio de ferramentas de IA, os golpes de telefone eram considerados “uma ameaça constante”.

Golpes de Romance

Em 2023, atacantes usaram a IA para imitar as vozes de membros da família em dificuldade e enganar idosos a perder cerca de $200.000. Chamadas de golpe são difíceis de detectar, especialmente para pessoas mais velhas, mas quando a voz do outro lado da linha soa exatamente como um membro da família, elas são quase indetectáveis. Vale notar que esse incidente ocorreu há dois anos – a clonagem de voz de IA se tornou ainda mais sofisticada desde então.

Vishing com IA como Serviço

O Vishing com IA como Serviço (VaaS) tem sido um grande contribuinte para o crescimento do vishing com IA nos últimos anos. Esses modelos de assinatura podem incluir capacidades de spoofing, prompts personalizados e agentes adaptáveis, permitindo que atores mal-intencionados lancem ataques de vishing com IA em larga escala.

Na Fortra, estamos rastreando o PlugValley, um dos principais jogadores no mercado de Vishing com IA como Serviço. Esses esforços nos deram insights sobre o grupo de ameaças e, talvez mais importante, mostraram como os ataques de vishing se tornaram avançados e sofisticados.

PlugValley: Vishing com IA como Serviço Desvendado

O bot de vishing do PlugValley permite que atores ameaçantes implantem vozes personalizáveis e realistas para manipular potenciais vítimas. O bot pode se adaptar em tempo real, imitar padrões de fala humanos, spoofar IDs de chamador e até adicionar ruído de fundo de call center a chamadas de voz. Isso torna os golpes de vishing com IA tão convincentes quanto possível, ajudando os cibercriminosos a roubar credenciais bancárias e senhas de uso único (OTPs).

O PlugValley remove barreiras técnicas para cibercriminosos, oferecendo tecnologia de fraude escalável por um clique de botão por assinaturas mensais nominais.

Fornecedores de Vishing com IA como Serviço, como o PlugValley, não estão apenas executando golpes; eles estão industrializando o phishing. Eles representam a última evolução da engenharia social, permitindo que cibercriminosos usem ferramentas de aprendizado de máquina (ML) e aproveitem as pessoas em larga escala.

Proteção Contra o Vishing com IA

Técnicas de engenharia social impulsionadas por IA, como o vishing com IA, estão prestes a se tornar mais comuns, eficazes e sofisticadas nos próximos anos. Consequentemente, é importante que as organizações implementem estratégias proativas, como treinamento de conscientização de funcionários, sistemas de detecção de fraude aprimorados e inteligência de ameaças em tempo real,

Em nível individual, as seguintes orientações podem ajudar a identificar e evitar tentativas de vishing com IA:

• Seja Cético com Chamadas Não Solicitadas: Exerça cautela com chamadas telefônicas inesperadas, especialmente aquelas que solicitam detalhes pessoais ou financeiros. Organizações legítimas geralmente não solicitam informações sensíveis por telefone. ​
• Verifique a Identidade do Chamador: Se um chamador alega representar uma organização conhecida, verifique independentemente sua identidade entrando em contato com a organização diretamente usando informações de contato oficiais. ​WIRED sugere criar uma senha secreta com sua família para detectar ataques de vishing que alegam ser de um membro da família.
• Limite a Partilha de Informações: Evite divulgar informações pessoais ou financeiras durante chamadas não solicitadas. Seja especialmente cauteloso se o chamador cria um senso de urgência ou ameaça consequências negativas. ​
• Eduque-se e aos Outros: Mantenha-se informado sobre táticas comuns de vishing e compartilhe esse conhecimento com amigos e familiares. A conscientização é uma defesa crítica contra ataques de engenharia social.​
• Relate Chamadas Suspeitas: Informe as autoridades relevantes ou agências de proteção ao consumidor sobre tentativas de vishing. Relatar ajuda a rastrear e mitigar atividades fraudulentas.

Por todos os indicadores, o vishing com IA está aqui para ficar. Na verdade, é provável que continue a aumentar em volume e melhorar na execução. Com a prevalência de deepfakes e a facilidade de adoção de campanhas com modelos de serviço, as organizações devem antecipar que, em algum momento, serão alvo de um ataque.

A educação dos funcionários e a detecção de fraude são fundamentais para se preparar e prevenir ataques de vishing com IA. A sofisticação do vishing com IA pode levar até profissionais de segurança bem treinados a acreditar em solicitações ou narrativas aparentemente autênticas. Por isso, uma estratégia de segurança abrangente e em camadas que integre salvaguardas tecnológicas com uma força de trabalho consistentemente informada e vigilante é essencial para mitigar os riscos impostos pelo phishing com IA.