Ferramentas de IA generativas, como o ChatGPT, estão provocando um aumento nos ataques sofisticados de e-mail, de acordo com um relatório divulgado na quarta-feira por uma empresa global de segurança de e-mail baseada em nuvem.
Os líderes de segurança estão preocupados com as possibilidades de ataques de e-mail gerados por IA desde que o ChatGPT foi lançado, e estamos começando a ver esses medos validados, observou o relatório da Segurança Anormal.
A empresa informou que recentemente interrompeu uma série de ataques que continham linguagem fortemente suspeita de ser escrita por IA.
“Atores de ameaças de ponta sempre usaram inteligência artificial. A IA generativa não é grande coisa para eles porque eles já tinham acesso a ferramentas para permitir esses tipos de ataques”, disse Dan Shiebler, chefe de aprendizado de máquina da Abnormal e autor do relatório.
“O que a IA generativa faz é comoditizar ataques sofisticados para que possamos ver mais deles”, disse ele ao TechNewsWorld.
“Observamos um aumento nos ataques de comprometimento de e-mail comercial (BEC), que esses tipos de tecnologias facilitam”, continuou ele.
“O lançamento do ChatGPT foi um marco para o consumidor, mas o lançamento do GPT3 em 2020 permitiu que os agentes de ameaças usassem IA em ataques por e-mail”, acrescentou.
Aplicativo Assustador
Mika Aalto, cofundador e CEO da Hoxhuntfornecedora de soluções de conscientização de segurança corporativa em Helsinque, disse ao TechNewsWorld que os invasores estão adotando a tecnologia de IA para criar campanhas BEC mais convincentes e desenvolver kits de ataque BEC mais sofisticados que são vendidos na dark web.
“De acordo com nossa própria pesquisa, os engenheiros sociais humanos ainda são melhores na elaboração de e-mails de phishing do que grandes modelos de linguagem, mas essa lacuna está diminuindo”, disse ele. “Os hackers estão melhorando a engenharia imediata e contornando as barreiras contra o uso indevido do ChatGPT para campanhas BEC.”
“Uma aplicação bastante assustadora dessa tecnologia é o reenvio iterativo de um ataque”, observou Shiebler. “
“Um sistema pode enviar um ataque, determinar se ele chegou aos destinatários e, se não conseguir, modificar o ataque repetidamente”, explicou. “Essencialmente, ele aprende como a defesa está funcionando e modifica o ataque para tirar proveito disso.”
Em seu relatório, a Abnormal demonstrou como a IA generativa foi usada em três ataques a seus clientes – um ataque de phishing de credenciais, um ataque BEC tradicional e um ataque de fraude de fornecedor.
Esses três exemplos são apenas uma pequena porcentagem dos ataques por e-mail gerados pela IA, que o Abnormal agora está vendo quase diariamente, observou o relatório.
Infelizmente, continuou, à medida que a tecnologia continua a evoluir, o cibercrime evoluirá com ela, e tanto o volume quanto a sofisticação desses ataques continuarão a aumentar.
Chega de Inglês Fraturado
Ferramentas de IA generativas podem aumentar a eficácia de uma campanha de phishing, especialmente aquelas originadas fora dos Estados Unidos.
“Muitos ataques de e-mail são originados fora dos EUA por falantes não nativos, resultando em e-mails com problemas gramaticais óbvios e tom de voz incomum, que despertam suspeitas por parte do destinatário”, explicou Dror Liwer, cofundador da corouma empresa de segurança cibernética baseada em nuvem com sede em Tel Aviv, Israel.
“A IA generativa permite que o remetente crie um e-mail personalizado, conversacional e extremamente confiável que não geraria suspeitas, resultando em mais usuários caindo na armadilha”, disse ele ao TechNewsWorld.
“O contexto e a gramática adequados tornam o conteúdo mais crível e menos provável de ser suspeito para o usuário”, acrescentou James McQuiggan, um defensor da conscientização de segurança da KnowBe4um provedor de treinamento de conscientização de segurança em Clearwater, Flórida.
“Além disso”, disse ele ao TechNewsWorld, “a IA generativa pode extrair informações da Internet sobre uma organização para criar uma campanha de spear phishing direcionada ou mais confiável”.
Joey Stanford, chefe de segurança global e privacidade da Platform.shuma plataforma global como provedora de serviços, observou que os ataques de e-mail elaborados com IA generativa podem parecer mais realistas e convincentes porque usam técnicas linguísticas sofisticadas e grandes conjuntos de dados de e-mails de phishing.
“Isso permite que os malfeitores gerem automaticamente novos e-mails de phishing atraentes que são mais difíceis de detectar”, disse ele ao TechNewsWorld. “Ferramentas generativas de IA, como o ChatGPT da OpenAI, podem estar por trás do aumento de 135% nos e-mails fraudulentos usando essas técnicas, revelado em um relatório recente da Darktrace.”
Combatendo IA com IA
Stanford sustentou que as organizações poderiam se proteger no nível da rede contra ataques de e-mail elaborados com IA generativa usando ferramentas de segurança cibernética com IA de autoaprendizagem. Essas ferramentas, explicou ele, podem detectar e responder a atividades anômalas e maliciosas de e-mail em tempo real, sem depender do conhecimento prévio de ameaças anteriores.
“Essas ferramentas também podem ajudar as organizações a educar seus funcionários sobre como identificar e denunciar e-mails de phishing e aplicar políticas de segurança e práticas recomendadas em toda a rede”, disse ele.
Ele reconheceu que essas ferramentas eram novas e estavam em rápido desenvolvimento, mas combater a IA com IA parece ser a melhor solução para o problema por vários motivos. Esses incluem:
- Os ataques generativos de IA são dinâmicos e adaptáveis e podem escapar dos modelos de segurança tradicionais que dependem do conhecimento prévio de ameaças passadas.
- As ferramentas de IA de autoaprendizagem podem detectar e responder a atividades de e-mail anômalas e maliciosas em tempo real, sem intervenção humana ou regras predefinidas.
- As ferramentas de IA também podem analisar o conteúdo e o contexto de e-mails e textos e sinalizar quaisquer suspeitos ou maliciosos para investigação ou ação adicional.
- As ferramentas de IA podem ajudar a educar e capacitar as equipes de segurança e ciência de dados para colaborar e criar um programa de segurança de IA proativo e holístico.
Além da IA para a Análise Comportamental
No entanto, o problema da IA generativa não pode ser resolvido a longo prazo com mais IA, rebateu John Bambenek, principal caçador de ameaças da Netenrichuma empresa de operações de TI e segurança digital em San Jose, Califórnia.
“O que é necessário é observar o que é normal e anormal do ponto de vista da análise de comportamento e perceber que o e-mail é inseguro e inseguro”, disse ele ao TechNewsWorld. “Quanto mais algo importa, menos deve depender do e-mail.”
“A chave ainda é a mesma, pense duas vezes antes de agir em um e-mail, especialmente se for algo sensível como uma transação financeira ou um pedido de autenticação”, acrescentou.
Quer um e-mail seja gerado por uma IA, bot ou humano, as etapas para examiná-lo permanecem as mesmas, aconselhou McQuiggan. Um destinatário deve fazer três perguntas: Este e-mail é inesperado? É de alguém que eu não conheço? Eles estão me pedindo para fazer algo incomum ou com pressa?
“Se a resposta for sim para qualquer uma dessas perguntas, reserve um tempo extra para verificar as informações no e-mail”, disse ele.
“Reservar alguns momentos extras para verificar os links, a origem do e-mail e a solicitação pode reduzir custos ou recursos adicionais porque alguém clicou em um link e iniciou um risco de violação de dados para a organização”, aconselhou.
