Os ataques de phishing e outro tipo de técnicas de engenharia social não param de crescer e o futuro não se revela animador. Com os últimos avanços da inteligência artificial, tecnologias como o ChatGPT ou o VoiceLab da Elevenlabs estão já a ser usados em ataques sofisticados e difíceis de detetar.
Os ataques de phishing massivos são regra geral fáceis de identificar pois, entre outras características, normalmente o texto contém erros de ortografia e gramática. Muitos de nós temos quase como garantido a capacidade de deteção destas mensagens maliciosas. No entanto a atualidade configura uma nova realidade. Os atacantes estão a recorrer ao ChatGPT para criar e-mails assertivos, bem escritos e em múltiplas línguas para ataques em escala. Este tema é preocupante, porque se os ataques massivos estão a ficar mais “polidos”, os ataques de spear phishing (ataques direcionados), podem atingir um nível de sofisticação que os torna indiferenciáveis de uma comunicação legítima.
A OpenAI já implementou controlos para tentar dificultar a utilização do ChatGPT para fins maliciosos
Mas basta alguma criatividade na forma como se pede e os controlos são facilmente ultrapassados.
Como se isto não fosse suficiente, o ChatGPT pode também ser usado para criar software malicioso.
Outra ameaça grave e que já está a acontecer com frequência nos Estados Unidos, está relacionada com a clonagem de voz. A tecnologia atual de IA permite que, com apenas alguns segundos de amostra de uma voz, a possamos clonar e fazermo-nos passar por outra pessoa. Tudo com credibilidade suficiente para, na maioria dos casos, conseguir obter dados pessoais ou extorquir dinheiro à vítima. No futuro com a evolução da IA, estaremos cada vez expostos a estes chamados “deepfakes” quer de áudio como também de vídeo. Muitos deles impossíveis de distinguir. Este tipo de ameaça revela-se a mais preocupante e difícil de resolver.
Como nos protegemos?
Com o objetivo de detetar e travar os mais inovadores ataques, os fabricantes de soluções de segurança estão cada vez mais a integrar a Inteligência Artificial nos seus produtos e esta será também uma revolução na segurança dos sistemas de informação. Convém lembrar que independentemente da tecnologia que nos possa proteger, a última linha são sempre pessoas e aqui as premissas para detetar ataques de phishing mantêm-se inalteradas:
Sempre que receber uma mensagem a pedir-lhe para agir de imediato, faça uma pausa e leia cuidadosamente a mensagem. Tem a certeza de que é verdadeira?
Se receber uma mensagem suspeita de uma organização e estiver na dúvida em relação à sua legitimidade, nunca clique em ligações ou anexos em e-mails. Em alternativa, contacte a organização por telefone.
Se a mensagem suspeita parecer ser proveniente de uma pessoa que conhece, contacte essa pessoa através de outros meios, por exemplo, SMS ou chamada telefónica para confirmar. Não responda à mensagem.
No contexto empresarial deve ser implementado um programa de consciencialização com formações e simulações de ataques regulares.
