A IA generativa está desempenhando um papel significativo na mudança do cenário de ameaças de e-mail de phishing, indicam duas novas pesquisas. Dois relatórios publicados esta semana revelam que o uso da tecnologia para a criação de campanhas de phishing sofisticadas, que vão desde a criação e distribuição de malware até execução de ataques avançados de engenharia social para adquirir informações confidenciais ou obter acesso não autorizado a sistemas e redes, vem sendo cada vez mais empregado.
O relatório State of Email Security in a AI-Powered World da Abnormal Security revela que os líderes de segurança estão preocupados com o potencial da IA generativa para criar ataques de e-mail mais sofisticados, com muitos já tendo recebido ataques de e-mail gerados por IA ou suspeitando fortemente que esse era o caso.
Quase todos (98%) os 300 profissionais de segurança cibernética entrevistados pela Abnormal Security estão preocupados com os riscos de segurança cibernética representados pelo ChatGPT, Google Bard, WormGPT e ferramentas de IA generativas semelhantes. A principal precaução é justamente com o aumento da sofisticação dos ataques de e-mail que a IA generativa possibilita, particularmente com o fato de essas ferramentas permitiram criar ataques de e-mail personalizados com base em informações disponíveis publicamente.
A inquietação ganha contornos ainda mais acentuados, segundo a pesquisa, porque a grande maioria dos líderes de segurança diz não está adequadamente preparada para se proteger contra ataques de e-mail gerados por IA. A maioria dos entrevistados ainda depende de seus provedores de e-mail na nuvem ou ferramentas legadas para segurança de e-mail, com mais da metade (53%) ainda usando gateways de e-mail seguros para proteger seus ambientes de e-mail. Essa abordagem não parece estar funcionando, já que quase metade dos entrevistados (46%) não confia em soluções tradicionais para detectar e bloquear ataques gerados por IA.
Já o relatório elaborado pela equipe de pesquisa da IBM X-Force confirma que a IA generativa vem se tornando uma ferramenta para o desenvolvimento de e-mails de phishing altamente aprimorado. Segundo as descobertas da X-Force, com apenas cinco prompts simples, a equipe de pesquisa foi capaz de enganar um modelo de IA generativo para desenvolver e-mails de phishing “bastante convincentes” quase no mesmo nível daqueles criados por humanos qualificados em apenas cinco minutos, potencialmente economizando quase dois dias de trabalho para os invasores.
O objetivo das pesquisas da equipe do IBM X-Force era determinar se os modelos atuais de IA generativa têm as mesmas habilidades enganosas da mente humana, comparando as taxas de cliques de e-mails gerados por IA e gerados por humanos em uma simulação contra organizações.
Por meio de um processo sistemático de experimentação e refinamento, uma coleção de apenas cinco prompts foi criada para instruir o ChatGPT a gerar e-mails de phishing adaptados a setores específicos da indústria, escreveu Stephanie Carruthers, head global de inovação e entrega do IBM X-Force. “Para começar, pedimos ao ChatGPT que detalhasse as principais áreas de preocupação para os funcionários dessas indústrias. Depois de priorizar a indústria e as preocupações dos funcionários como foco principal, incentivamos a ChatGPT a fazer seleções estratégicas sobre o uso de técnicas de engenharia social e marketing dentro do e-mail”, explicou ela.
Essas escolhas visavam otimizar a probabilidade de um número maior de funcionários clicar em um link no próprio e-mail, disse Carruthers. Em seguida, um prompt perguntou ao ChatGPT quem deveria ser o remetente (por exemplo, alguém interno à empresa, um fornecedor ou uma organização externa). Por fim, a equipe pediu ao ChatGPT que adicionasse as seguintes conclusões para criar o e-mail de phishing:
- Principais áreas de preocupação para os funcionários no setor de saúde: progressão na carreira, estabilidade no emprego, trabalho gratificante.
- Técnicas de engenharia social que devem ser usadas: confiança, autoridade, prova social.
- Técnicas de marketing que devem ser utilizadas: personalização, otimização mobile, call to action.
- Pessoa ou empresa que deve se passar por: gerente interno de recursos humanos.
- Geração de e-mails: dadas todas as informações listadas acima, o ChatGPT gerou o e-mail abaixo redigido, que posteriormente foi enviado para mais de 800 funcionários.
“Tenho quase uma década de experiência em engenharia social, criei centenas de e-mails de phishing e até achei os e-mails de phishing gerados por IA bastante persuasivos”, escreveu Stephanie.
A segunda parte do experimento do IBM X-Force viu engenheiros sociais experientes criarem e-mails de phishing que ressoavam com seus alvos em um nível pessoal. Eles empregaram uma fase inicial de aquisição de inteligência de código aberto (OSINT), seguida pelo processo de construção meticulosa de seu próprio e-mail de phishing para rivalizar com o criado pela IA generativa.
Veja isso
Domínios de IA de marcas confiáveis são usados para fraudes
IA generativa é risco e solução para combater o crime financeiro
Após uma intensa rodada de testes A/B, os resultados foram claros: os humanos saíram vitoriosos, mas pela margem mais estreita. A taxa de cliques de phishing de IA generativa foi de 11%, enquanto a taxa de cliques de phishing humano foi de 14%, de acordo com o IBM X-Force. O e-mail gerado por IA também foi relatado como suspeito em uma taxa um pouco maior em comparação com a mensagem gerada por humanos, 59% versus 52%, respectivamente.
“Os humanos podem ter vencido por pouco esta partida, mas a IA está constantemente melhorando”, escreveu Stephanie. “À medida que a tecnologia avança, só podemos esperar que a IA se torne mais sofisticada e potencialmente supere os humanos um dia.”
Para ter acesso à íntegra do relatório State of Email Security in a AI-Powered World da Abnormal Security clique aqui.
Já para acessar o relatório elaborado pela chefe de pesquisas da IBM X-Force clique aqui
