{"id":21878,"date":"2025-02-12T12:27:21","date_gmt":"2025-02-12T15:27:21","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21878"},"modified":"2025-02-17T12:14:23","modified_gmt":"2025-02-17T15:14:23","slug":"engenharia-social-alimentada-por-ia","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/02\/basico\/engenharia-social-alimentada-por-ia\/","title":{"rendered":"Engenharia social alimentada por IA"},"content":{"rendered":"\n

Engenharia social alimentada por IA: amea\u00e7as reinventadas<\/strong><\/p>\n

As bases para ataques de engenharia social, manipula\u00e7\u00e3o de humanos, podem n\u00e3o ter mudado muito ao longo dos anos. S\u00e3o os vetores, como essas t\u00e9cnicas s\u00e3o implantadas, que est\u00e3o evoluindo. E como a maioria das ind\u00fastrias hoje em dia, a IA est\u00e1 acelerando sua evolu\u00e7\u00e3o.<\/span><\/p>\n

Este artigo explora como essas mudan\u00e7as est\u00e3o impactando os neg\u00f3cios e como os l\u00edderes de seguran\u00e7a cibern\u00e9tica podem responder.<\/span><\/p>\n

\u00a0<\/p>\n

Ataques de representa\u00e7\u00e3o: usando uma identidade confi\u00e1vel<\/strong><\/p>\n

As formas tradicionais de defesa j\u00e1 estavam lutando para resolver a engenharia social, a “causa da maioria das viola\u00e7\u00f5es de dados”, de acordo com a Thomson Reuters. A pr\u00f3xima gera\u00e7\u00e3o de ataques cibern\u00e9ticos e agentes de amea\u00e7as alimentados por IA agora podem lan\u00e7ar esses ataques com velocidade, escala e realismo sem precedentes.<\/span><\/p>\n

\u00a0<\/p>\n

O m\u00e9todo antigo: M\u00e1scaras de silicone<\/strong><\/p>\n

Ao se passarem por um ministro do governo franc\u00eas, dois fraudadores conseguiram extrair mais de \u20ac 55 milh\u00f5es de v\u00e1rias v\u00edtimas. Durante as videochamadas, um deles usava uma m\u00e1scara de silicone de Jean-Yves Le Drian. Para adicionar uma camada de credibilidade, eles tamb\u00e9m se sentaram em uma recria\u00e7\u00e3o de seu gabinete ministerial com fotos do ent\u00e3o presidente Fran\u00e7ois Hollande.<\/span><\/p>\n

Mais de 150 figuras proeminentes foram contatadas e pediram dinheiro para pagamentos de resgate ou opera\u00e7\u00f5es antiterroristas. A maior transfer\u00eancia feita foi de \u20ac 47 milh\u00f5es, quando o alvo foi solicitado a agir por causa de dois jornalistas presos na S\u00edria.<\/span><\/p>\n

\u00a0<\/p>\n

\"AI-Powered<\/p>\n

\u00a0<\/p>\n

A nova maneira: deepfakes de v\u00eddeo<\/strong><\/p>\n

Muitas das solicita\u00e7\u00f5es de dinheiro falharam. Afinal, m\u00e1scaras de silicone n\u00e3o conseguem replicar completamente a apar\u00eancia e o movimento da pele de uma pessoa. A tecnologia de v\u00eddeo de IA est\u00e1 oferecendo uma nova maneira de intensificar essa forma de ataque.<\/span><\/p>\n

Vimos isso no ano passado em Hong Kong, onde os invasores criaram um deepfake em v\u00eddeo de um CFO para realizar um golpe de US$ 25 milh\u00f5es. Eles ent\u00e3o convidaram um colega para uma videoconfer\u00eancia. Foi a\u00ed que o deepfake CFO persuadiu o funcion\u00e1rio a fazer a transfer\u00eancia multimilion\u00e1ria para a conta dos fraudadores.<\/span><\/p>\n

\u00a0<\/p>\n

Chamadas ao vivo: phishing de voz<\/strong><\/p>\n

O phishing de voz, geralmente conhecido como vishing, usa \u00e1udio ao vivo para aproveitar o poder do phishing tradicional, em que as pessoas s\u00e3o persuadidas a fornecer informa\u00e7\u00f5es que comprometem sua organiza\u00e7\u00e3o.<\/span><\/p>\n

\u00a0<\/p>\n

O m\u00e9todo antigo: chamadas telef\u00f4nicas fraudulentas<\/strong><\/p>\n

O invasor pode se passar por algu\u00e9m, talvez uma figura de autoridade ou algu\u00e9m de outra origem confi\u00e1vel, e fazer uma liga\u00e7\u00e3o telef\u00f4nica para um alvo.<\/span><\/p>\n

Eles acrescentam um senso de urg\u00eancia \u00e0 conversa, solicitando que um pagamento seja feito imediatamente para evitar resultados negativos, como perder o acesso a uma conta ou perder um prazo. As v\u00edtimas perderam uma m\u00e9dia de US$ 1.400 para essa forma de ataque em 2022.<\/span><\/p>\n

\u00a0<\/p>\n

A nova maneira: clonagem de voz<\/strong><\/p>\n

As recomenda\u00e7\u00f5es tradicionais de defesa contra vishing incluem pedir \u00e0s pessoas que n\u00e3o cliquem em links que v\u00eam com solicita\u00e7\u00f5es e retornar a liga\u00e7\u00e3o para a pessoa em um n\u00famero de telefone oficial. \u00c9 semelhante \u00e0 abordagem Zero Trust de Never Trust, Always Verify. Claro, quando a voz vem de algu\u00e9m que a pessoa conhece, \u00e9 natural que a confian\u00e7a ignore quaisquer preocupa\u00e7\u00f5es de verifica\u00e7\u00e3o.<\/span><\/p>\n

Esse \u00e9 o grande desafio com a IA, com os invasores agora usando tecnologia de clonagem de voz, frequentemente tirada de apenas alguns segundos de um alvo falando. Uma m\u00e3e recebeu uma liga\u00e7\u00e3o de algu\u00e9m que havia clonado a voz de sua filha, dizendo que ela seria sequestrada e que os invasores queriam uma recompensa de US$ 50.000.<\/span><\/p>\n

\u00a0<\/p>\n

E-mail de phishing<\/strong><\/p>\n

A maioria das pessoas com um endere\u00e7o de e-mail j\u00e1 ganhou na loteria. Pelo menos, elas receberam um e-mail dizendo que ganharam milh\u00f5es. Talvez com uma refer\u00eancia a um rei ou pr\u00edncipe que pode precisar de ajuda para liberar os fundos, em troca de uma taxa inicial.<\/span><\/p>\n

\u00a0<\/p>\n

O jeito antigo: borrifar e rezar<\/strong><\/p>\n

Com o tempo, essas tentativas de phishing se tornaram muito menos eficazes, por v\u00e1rios motivos. Elas s\u00e3o enviadas em massa com pouca personaliza\u00e7\u00e3o e muitos erros gramaticais, e as pessoas est\u00e3o mais cientes dos “golpes 419” com suas solicita\u00e7\u00f5es para usar servi\u00e7os espec\u00edficos de transfer\u00eancia de dinheiro. Outras vers\u00f5es, como usar p\u00e1ginas de login falsas para bancos, geralmente podem ser bloqueadas usando prote\u00e7\u00e3o de navega\u00e7\u00e3o na web e filtros de spam, al\u00e9m de educar as pessoas para verificar a URL de perto.<\/span><\/p>\n

No entanto, o phishing continua sendo a maior forma de crime cibern\u00e9tico. O\u00a0Internet Crime Report 2023 do FBI\u00a0descobriu que phishing\/spoofing foi a fonte de 298.878 reclama\u00e7\u00f5es. Para dar algum contexto, a segunda maior (viola\u00e7\u00e3o de dados pessoais) registrou 55.851 reclama\u00e7\u00f5es.<\/p>\n

\u00a0<\/p>\n

A nova maneira: conversas realistas em escala<\/strong><\/p>\n

A IA est\u00e1 permitindo que agentes de amea\u00e7as acessem ferramentas perfeitas ao aproveitar LLMs, em vez de depender de tradu\u00e7\u00f5es b\u00e1sicas. Eles tamb\u00e9m podem usar a IA para lan\u00e7\u00e1-las para v\u00e1rios destinat\u00e1rios em escala, com personaliza\u00e7\u00e3o permitindo a forma mais direcionada de spear phishing.<\/span><\/p>\n

Al\u00e9m disso, eles podem usar essas ferramentas em v\u00e1rios idiomas. Isso abre as portas para um n\u00famero maior de regi\u00f5es, onde os alvos podem n\u00e3o estar t\u00e3o cientes das t\u00e9cnicas tradicionais de phishing e do que verificar. A Harvard Business Review alerta que “todo o processo de phishing pode ser automatizado usando LLMs, o que reduz os custos de ataques de phishing em mais de 95%, ao mesmo tempo em que atinge taxas de sucesso iguais ou maiores”.<\/span><\/p>\n

\u00a0<\/p>\n

Amea\u00e7as reinventadas significam reinventar defesas<\/strong><\/p>\n

A seguran\u00e7a cibern\u00e9tica sempre esteve em uma corrida armamentista entre defesa e ataque. Mas a IA adicionou uma dimens\u00e3o diferente. Agora, os alvos n\u00e3o t\u00eam como saber o que \u00e9 real e o que \u00e9 falso quando um invasor est\u00e1 tentando manipular:<\/span><\/p>\n