Um novo relatório divulgado hoje pela empresa de serviços de treinamento em segurança cibernética Hoxhunt Ltd. revela que agentes de phishing com inteligência artificial superaram equipes de elite humanas na criação de ataques de phishing eficazes. O relatório descreve a IA como tendo atingido seu “momento Skynet para engenharia social”, uma referência à franquia de filmes “O Exterminador do Futuro”, já que após dois anos de desenvolvimento, os agentes de IA desenvolvidos pela Hoxhunt criaram campanhas de phishing simuladas mais eficazes do que os red terams humanos da empresa.
Leia também
Caracteres Unicode ocultam Javascript em phishing
Anonymous expõem 10 mil emails e senhas
O teste, que foi executado três vezes, descobriu que em 2023, a IA era 31% menos eficaz do que os humanos e, em novembro do ano passado, era apenas 10% menos eficaz do que os humanos. Avançando para março, descobriu-se que a IA era 24% mais eficaz do que os humanos.
A pesquisa usou o agente de spear phishing de IA proprietário da Hoxhunt, conhecido internamente como JKR — abreviação de Joker — que foi testado em milhões de usuários corporativos. O agente de IA foi projetado para criar e refinar e-mails de phishing altamente direcionados usando contexto específico do usuário, como função e local. Com o tempo, o agente evoluiu usando um processo interno chamado “Evolves”, que continuamente ajustou seus prompts e saída do modelo, levando a ganhos significativos de desempenho em apenas alguns meses.
Os testes atuais diferem dos testes anteriores em 2023, que dependiam de respostas simples e de prompt único de grandes modelos de linguagem com o uso de agentes de IA sofisticados que são capazes de gerar novos conteúdos de phishing e aprimorar mensagens criadas por humanos. A metodologia avançada permitiu que a IA elaborasse ataques que eram muito mais convincentes e adaptáveis, correspondendo ou excedendo efetivamente a criatividade e a intuição humanas na engenharia social.
Embora os testes tenham sido todos feitos internamente pelos pesquisadores da Hoxhunt usando suas próprias ferramentas, eles demonstram que a tecnologia subjacente está avançando rapidamente. A Hoxhunt sugere que, uma vez que os agentes de spear phishing de IA sejam integrados às ofertas de phishing como serviço, a qualidade básica dos ataques de phishing em massa aumentará para níveis anteriormente associados apenas a operações de spear phishing altamente direcionadas.
Conforme a tecnologia avança, as tendências só vão piorar. Hoje, e-mails de phishing escritos por IA que ignoram filtros de e-mail ainda representam menos de 5% do volume total, mas desde a estreia do ChatGPT em 2022, o número cresceu em 4.151%. A Hoxhunt também descobriu que houve um aumento de 49% em ataques de phishing que evitam filtros de e-mail naquele período.
O problema é claro: à medida que os ataques gerados por IA se tornam mais fáceis de criar e mais lucrativos, eles serão mais amplamente adotados pelos cibercriminosos.
No entanto, nem toda a esperança está perdida, com o treinamento de phishing baseado em comportamento permanecendo eficaz contra ameaças humanas e geradas por IA. Plataformas de treinamento adaptáveis que simulam ameaças reais e personalizam a educação do usuário também estão se mostrando mais resilientes, de acordo com as descobertas da Hoxhunt.
“À medida que a tecnologia de IA continua a evoluir, a capacidade de criar ataques de phishing mais sofisticados sob demanda só aumentará, tornando a IA uma ferramenta essencial em estratégias de segurança cibernética ofensivas e defensivas”, escreveu o cofundador e diretor de tecnologia da Hoxhunt, Pyry Åvist.
