O Mês da Conscientização sobre Segurança Cibernética pode não ter o mesmo apelo que outros marcos de outubro — como admirar a folhagem colorida ou se deliciar com doces de Halloween —, mas pode levar líderes corporativos e consumidores a se engajarem em um ritual importante: reavaliar sua abordagem à segurança cibernética.

E há muito em que refletir sobre este último ano. As empresas, em especial, devem se perguntar neste mês (e em todos os meses): Como o cenário de ameaças online mudou? E as práticas de segurança da sua empresa estão sendo suficientes para acompanhar essas mudanças?

A inteligência artificial foi, sem dúvida, a maior inovação deste ano. As ferramentas de IA, incluindo grandes modelos de linguagem (LLMs) como o ChatGPT, ampliaram significativamente as capacidades dos atacantes. Entretanto, um número crescente de empresas está incorporando IA em suas atividades diárias, pressionando os profissionais de segurança cibernética a proteger novas fronteiras sem muitos precedentes sobre como fazê-lo. Enquanto isso, os consumidores estão no meio desse ambiente de IA em rápida transformação.

Essa dinâmica específica estava na mente de muitos dos 20.000 participantes da Conferência Black Hat deste ano, em Las Vegas. Desde os estandes chamativos no pavilhão de negócios até as pesquisas de ponta apresentadas nas palestras, passando pelos bate-papos tranquilos entre elas, a IA dominou a conversa.

Na palestra de abertura do evento, o pesquisador de longa data em segurança cibernética Mikko Hyppönen chamou a IA de "a maior revolução tecnológica" que já viu em sua vida, observando que pesquisadores que usam LLMs já descobriram algumas dezenas de vulnerabilidades de dia zero — um termo da indústria para uma fraqueza não detectada em software ou código.

“Quando os pesquisadores encontram vulnerabilidades de segurança na IA, isso é ótimo porque podemos corrigi-las”, disse Hyppönen. “Quando os agressores fazem o mesmo, isso é terrível.” Isso também vai acontecer.”

Golpistas online já estão usando modelos de aprendizagem de linguagem (LLMs) para escrever e-mails de phishing mais convincentes e direcionados, e fazem isso em uma escala muito maior do que jamais conseguiriam sem ferramentas de inteligência artificial.

Acabaram-se os tempos dos e-mails genéricos e mal escritos que até a pessoa menos entendida de tecnologia conseguia identificar como golpes. Golpistas que não são falantes nativos de inglês agora são profissionais em aprimorar suas mensagens com LLMs (Living Liability Mechanics - Membras de Aprendizagem de Libre).

E mesmo aqueles golpistas que se fazem passar por soldados solitários estacionados no exterior, promovendo uma oportunidade de negócio que parece boa demais para ser verdade (porque realmente é), estão incluindo detalhes pessoais extraídos por IA para tornar essas mensagens muito mais convincentes.

Eles também foram além do e-mail, enviando suas comunicações, agora bem elaboradas, para mídias sociais, mensagens de texto e até mesmo ligações telefônicas.

Ao mesmo tempo, houve um aumento nas mensagens fraudulentas contendo deepfakes de áudio ou vídeo. No ano passado, um trabalhador em Hong Kong foi enganado e pagou US$ 25 milhões a golpistas depois de se inscrever no que ele pensava ser uma videochamada com funcionários de sua empresa multinacional, incluindo o diretor financeiro. Mas descobriu-se que as outras pessoas na chamada eram recriações deepfake em vídeo ao vivo dessas pessoas.

Os consumidores também têm sido alvo de golpes com deepfakes de áudio. É aí que os cibercriminosos usam IA para criar deepfakes das vozes de pessoas, geralmente mais jovens, e depois usam a voz imitada para ligar para familiares, dizendo que foram sequestrados ou estão na prisão, para extorquir dinheiro deles.

Tudo isso tem deixado empresas e consumidores compreensivelmente assustados. Um estudo recente realizado para a Mastercard entrevistou cerca de 13.000 consumidores em todo o mundo, incluindo cerca de 1.000 nos EUA, e descobriu que o conteúdo falso gerado por IA é a principal preocupação futura dos consumidores em relação a golpes. Mas apenas 13% dos entrevistados disseram ter muita confiança em sua capacidade de identificar ameaças ou golpes gerados por IA caso sejam alvo deles.

A grande maioria dos entrevistados citou especificamente preocupações com ataques mais sofisticados de sistemas de IA que são invadidos e transformados em softwares maliciosos, ciberataques automatizados em larga escala e e-mails de phishing mais convincentes criados por IA.

E consumidores preocupados podem representar grandes problemas para as empresas que os atendem. Se os consumidores não puderem confiar que estão lidando com uma empresa legítima ou que suas informações pessoais estão seguras, eles podem optar por fazer negócios com outra empresa.  

Pelo menos por enquanto, parece que os defensores estão em vantagem. Além de proteger os novos elementos de IA nos sistemas de seus clientes corporativos, as empresas de cibersegurança estão incorporando IA em seus próprios produtos, com o objetivo de interromper ameaças online de forma mais rápida e eficiente.

Entretanto, golpistas e outros cibercriminosos ainda não têm incentivo suficiente para inovar da mesma forma. Embora estejam usando ferramentas de IA para trabalhar mais rápido e em maior escala, especialistas dizem que eles estão, em grande parte, se atendo a versões aprimoradas dos mesmos golpes antigos.

Nicole Perlroth, ex-jornalista de cibersegurança que agora atua como sócia da Ballistic Ventures e lidera seu próprio fundo de investimento em cibersegurança, o Silver Buckshot, afirmou em seu discurso de abertura na Black Hat que está otimista com as novas tecnologias emergentes que tem observado na área de cibersegurança.

Ela mencionou as novas tecnologias de detecção de deepfakes baseadas em IA que estão chegando ao mercado e observou que a IA ajudou a "democratizar" os produtos e serviços de segurança cibernética, tornando-os mais acessíveis a empresas menores que não podiam adquiri-los no passado.

Hyppönen observou que os golpes com deepfakes são atualmente muito raros, mas acrescentou que espera que todos os tipos de golpes online, juntamente com ransomware, piorem à medida que as tecnologias de IA se tornem melhores e mais baratas.

A boa notícia é que os defensores têm uma vantagem inicial no que diz respeito à IA.

“Os atacantes também estão usando IA, mas estão apenas começando”, disse ele. “Até agora, só vimos ataques relativamente simples com IA.” Isso vai mudar, mas agora eu diria que estamos preparados.”