O uso da Inteligência Artificial (IA), especialmente de ferramentas generativas, em golpes virtuais vai crescer significativamente nos próximos anos. O estudo “Critical Scalability: Previsões de Segurança para 2024“, da Trend Micro, empresa especializada em cibersegurança, vislumbra um tsunami de ataques sofisticados de engenharia social, com táticas baseadas em ferramentas de IA Generativa alimentadas pelo roubo de credenciais.

>>>Clique aqui para ler mais notícias de cibersegurança

Segundo o relatório, a ampla disponibilidade e a melhoria da qualidade da IA Generativa, juntamente com o uso das Redes Generativas Adversárias (GANs), vão sacudir o mercado de phishing em 2024. Essa transformação permitirá a criação de conteúdo de áudio e vídeo hiper-realista – golpistas poderão se passar por executivos importantes, como CEOs, para solicitar transferências de dinheiro – impulsionando uma nova onda de ataques de Business Email Compromise (BEC), conhecidos também como “Fraude do CEO”, além de sequestros virtuais, entre outras modalidades de golpes.

“Os recursos de IA e LLM (Modelos de Linguagem Grande), eficientes em qualquer idioma, representam uma ameaça significativa pois eliminam os indicadores tradicionais de phishing, como formatação estranha ou erros gramaticais, tornando-os extremamente difíceis de detectar. As empresas devem adotar controles modernos de segurança para elevar suas defesas e garantir resiliência contra essas táticas”, destaca Eric Skinner, vice-presidente de Estratégia de Mercado da Trend Micro.

Criminosos lucram cada vez mais

Os pesquisadores da Trend dizem que a perspectiva de lucros cada vez mais altos* motiva os cibercriminosos a desenvolverem ferramentas nefastas de IA Generativa para essas campanhas, além da utilização de ferramentas legítimas para o roubo de credenciais e VPNs para ocultação de identidades.

Os próprios modelos de IA também podem ser alvos em 2024. Embora os modelos de Machine Learning baseados em nuvem sejam muito mais atraentes, já que os conjuntos de dados de IA Generativa e LLM são mais difíceis de influenciar, os conjuntos de dados mais focados no que são treinados podem ser selecionados para ataques de comprometimento de dados com diferentes objetivos, desde a exfiltração de informações confidenciais até o bloqueio de filtros contra fraudes e veículos conectados. Esses ataques já custam menos de US$ 100 para serem realizados.

Processos mais regulados

Essas tendências podem, por sua vez, levar ao aprimoramento do processo regulatório, impulsionando inclusive o setor de segurança cibernética a tomar as rédeas da questão. “No próximo ano, a indústria cibernética começará a superar o governo no que diz respeito ao desenvolvimento de políticas de regulamentação de segurança específicas para IA”, garante Greg Young, vice-presidente de Segurança Cibernética da Trend Micro. “A indústria está se movendo rapidamente para se autorregular com base em adesão”, acrescenta.

O relatório de Previsões da Trend Micro destaca, ainda, para 2024:

• Aumento nos ataques de worms (tipo de malware que se multiplica sozinho) nativos da nuvem, que visam vulnerabilidades e configurações incorretas e que usam alto grau de automação para impactar vários contêineres, contas e serviços, com o mínimo de esforço;
• Necessidade de investimento em segurança na nuvem, crucial para as organizações resolverem as lacunas de segurança, com destaque para a vulnerabilidade dos aplicativos nativos na cloud e proteção de ataques automatizados. Medidas proativas, incluindo mecanismos de defesa robustos e auditorias de segurança completas, são essenciais para mitigar os riscos;
• Aumento dos ataques à cadeia de suprimentos, que terá como alvo não apenas componentes de softwares de código aberto Upstream (originais), mas também recursos do Sistema de Gerenciamento de Segurança (SIM) de telecomunicações, essenciais para sistemas de frota e inventários. Os cibercriminosos também devem explorar as cadeias de fornecedores de softwares por meio de sistemas de CI/CD (Continuous Integration/ Continuous Delivery, ou seja, com integração e entrega contínuas), com foco específico em componentes de terceiros;
• Crescimento de ataques a blockchains privadas, resultante de vulnerabilidades na implementação de uma série de blockchains privadas. Os hackers podem utilizar essas fragilidades para modificar, substituir ou apagar entradas e, em seguida, exigir um resgate. Alternativamente, podem tentar criptografar todo o blockchain, caso seja possível assumir o controle de pontos suficientes.

Para ler uma cópia completa do relatório “Critical Scalability: Previsões de Segurança da Trend Micro para 2024 clique AQUI.

* O BEC custou às vítimas mais de US$ 2,7 bilhões em 2022, de acordo com o FBI.

Usar ou não a IA?

Quando lemos sobre todo esse potencial de uso negativo da IA fica essa dúvida. Porém, precisamos analisar friamente. A questão não é a IA, mas como ela é usada. Essa tecnologia tem um potencial gigante para melhorar a vida do planeta, se bem usada. Pode realizar tarefas que hoje nos custam demais. É verdade que eliminará empregos, mas também é real que criará outros. Tudo é o uso. Não é a ferramenta tecnológica o mal em si. Não é ela sozinha que ameaçará a segurança digital em 2024. Mas humanos, com conhecimento dela e vontade de tomar o que não lhes é de direito, que irão usar a IA para malefícios.

Portanto cabe ao outro lado, com conhecimento da mesma IA e recursos, criar as salvaguardas. Monitorar e preparar o terreno para criar as proteções necessárias. Mais uma vez é o homem, não a máquina o maior elemento nessa questão. Cabe a ele, em última instância, a capacidade de se proteger e proteger os outros daqueles que só visam o próprio benefício mesmo que, para isso, precisam destruir e ameaçar tudo e a todos ao seu redor.

Desta forma, além de regulações, cabe a nós a discussão mais aprofundada: tentar criar regulações para impedir que quem quer que seja passe dos limites. E precisamos fazer isso antes que seja tarde demais. A IA evoluiu muito em 2023 e a tendência é que até o final de 2024 vejamos muitas coisas que outrora eram temas apenas de filmes de ficção científica. Assim, é hora de botar pressão em autoridades e empresas. Urge que todos se apressem. O tempo está passando e os desafios serão muito grandes, mas é preciso agir agora. Depois pode ser muito tarde.

Imagem: Divulgação/TrendMicro