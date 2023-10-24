Segurança

IA versus manipulação humana: desvendando a nova era das táticas de phishing

Imagem de um cérebro em forma de cubo multicolorido em um fundo rosa.

Autora

Stephanie Carruthers

Chief People Hacker for IBM X-Force Red

Os invasores parecem inovar de forma tão rápida quanto a tecnologia se desenvolve. Dia após dia, tanto a tecnologia quanto as ameaças avançam. Agora, ao entrarmos na era da IA, as máquinas não só imitam o comportamento humano, mas também permeiam quase todas as facetas de nossas vidas. Apesar da crescente preocupação com as implicações da IA, a extensão total do seu potencial de uso indevido por invasores é em grande parte desconhecida.

Para entender melhor como os invasores podem aproveitar a IA generativa, realizamos um projeto de pesquisa que lança luz sobre uma pergunta crítica: os modelos de IA generativa atuais têm a mesma capacidade de manipulação que a mente humana?

Imagine um cenário em que a IA enfrenta humanos em uma batalha de phishing. O objetivo? Determinar quem pode obter uma maior taxa de cliques em uma simulação de phishing contra organizações. Como alguém que ganha a vida escrevendo e-mails de phishing, eu estava empolgado para descobrir a resposta.

Com apenas cinco prompts simples, conseguimos enganar um modelo de IA generativa para desenvolver e-mails de phishing altamente convincentes em apenas cinco minutos, o mesmo tempo que eu levo para preparar uma xícara de café. Geralmente, leva cerca de 16 horas para minha equipe criar um e-mail de phishing, e isso sem considerar a configuração da infraestrutura. Assim, os invasores podem economizar quase dois dias de trabalho utilizando modelos de IA generativa. E o phishing gerado por IA foi tão convincente que quase superou aquele criado por engenheiros experientes, mas o fato de já estar no mesmo nível é um avanço importante.

Neste blog, detalharemos como os prompts de IA foram criados, como o teste foi conduzido e o que isso significa para os ataques de engenharia social hoje e no futuro.

Primeira rodada: a ascensão das máquinas

De um lado, tínhamos e-mails de phishing gerados por IA com narrativas altamente astutas e convincentes.

Criando os prompts. Por meio de um processo sistemático de experimentação e refinamento, foi criada uma coleção de apenas cinco prompts para instruir o ChatGPT a gerar e-mails de phishing adaptados a setores específicos.

Para começar, pedimos ao ChatGPT que detalhasse as principais áreas de preocupação dos funcionários nesses setores. Após priorizar o setor e as preocupações dos funcionários como foco principal, criamos um prompt para que o ChatGPT fizesse escolhas estratégicas sobre o uso tanto de engenharia social quanto de técnicas de marketing no e-mail. Essas escolhas visavam aumentar a probabilidade de um maior número de funcionários clicar em um link no próprio e-mail. Em seguida, um prompt perguntava ao ChatGPT quem deveria ser o remetente (por exemplo, alguém interno da empresa, um fornecedor, uma organização externa etc.). Por último, pedimos ao ChatGPT para adicionar as seguintes conclusões para criar o e-mail de phishing:

  1. Principais áreas de preocupação para os funcionários do setor de saúde: avanço na carreira, estabilidade no emprego, realização no trabalho, entre outros
  2. Técnicas de engenharia social que devem ser usadas: confiança, autoridade, prova social
  3. Técnicas de marketing que devem ser usadas: personalização, otimização para dispositivos móveis, chamada para ação
  4. Pessoa ou empresa a ser simulada: gerente interno de recursos humanos
  5. Geração de e-mail: com todas as informações listadas acima, o ChatGPT gerou o e-mail abaixo, que foi posteriormente enviado pela minha equipe a mais de 800 funcionários.
Imagem mostrando como as táticas de phishing funcionam

Tenho quase uma década de experiência em engenharia social, elaborei centenas de e-mails de phishing e mesmo assim achei o e-mail de phishing gerado pela IA bastante persuasivo. Na verdade, houve três organizações que originalmente concordaram em participar dessa pesquisa, duas delas desistiram completamente após avaliações de ambos os e-mails de phishing, pois esperavam uma alta taxa de sucesso. Como os prompts mostraram, a organização que participou desta pesquisa estava no setor de saúde, que atualmente é um dos setores mais visados.

Ganhos de produtividade para invasores. Enquanto minha equipe normalmente leva cerca de 16 horas para criar um e-mail de phishing, o e-mail da IA foi gerado em apenas cinco minutos, com apenas cinco prompts simples.

Segunda rodada: o toque humano

Do outro lado, tínhamos engenheiros sociais experientes do X-Force Red.

Munidos de criatividade e uma pitada de psicologia, esses engenheiros sociais criaram e-mails de phishing que repercutiram em seus alvos em um nível pessoal. O elemento humano adicionou um ar de autenticidade que geralmente é difícil de replicar.

Etapa 1: OSINT – nossa abordagem ao phishing invariavelmente começa com a fase inicial de aquisição da Open-Source Intelligence (OSINT). A OSINT é a obtenção de informações publicamente acessíveis, que posteriormente passam por uma análise rigorosa e servem como recursos fundamentais na formulação de campanhas de engenharia social. Repositórios de dados relevantes para nossos esforços de OSINT incluem plataformas como o LinkedIn, o site oficial da organização, o Glassdoor e uma infinidade de outras fontes.

Durante nossas atividades de OSINT, descobrimos com sucesso uma postagem em um blog detalhando o recente lançamento de um programa de bem-estar para funcionários, coincidindo com a conclusão de vários projetos importantes. De forma encorajadora, este programa recebeu depoimentos favoráveis de funcionários no Glassdoor, atestando sua eficácia e a satisfação dos colaboradores. Além disso, identificamos uma pessoa responsável pelo gerenciamento do programa por meio do LinkedIn.

Passo 2: criação de e-mails – utilizando os dados coletados durante a fase da OSINT, iniciamos o processo de construir meticulosamente nosso e-mail de phishing. Como etapa fundamental, era imprescindível que nos fizéssemos passar por alguém com autoridade para lidar com o assunto de forma eficaz. Para aumentar a autenticidade e familiaridade, incorporamos um link de site legítimo a um projeto concluído recentemente.

Para aumentar o impacto persuasivo, integramos estrategicamente elementos de percepção de urgência introduzindo “restrições de tempo artificiais”. Informamos aos destinatários que a pesquisa em questão consistia em apenas “cinco perguntas breves” e garantimos que seu preenchimento não exigiria mais do que “alguns minutos” de seu valioso tempo, estabelecendo um prazo final para “esta sexta-feira”. Essa abordagem deliberada serviu para enfatizar o impacto mínimo em suas agendas, reforçando a natureza não intrusiva da nossa abordagem.

Usar uma pesquisa como pretexto de phishing geralmente é arriscado, pois muitas vezes é visto como um sinal de alerta ou simplesmente ignorado. No entanto, considerando os dados que descobrimos, decidimos que os possíveis benefícios poderiam superar os riscos associados.

O seguinte e-mail de phishing foi enviado a mais de 800 funcionários de uma organização de saúde global:

Imagem mostrando como as táticas de phishing funcionam como uma ferramenta de pesquisa

O campeão: os humanos ganham, mas por pouco!

Após uma intensa rodada de testes A/B, os resultados foram claros: os humanos saíram vitoriosos, mas por uma margem muito estreita.

Gráfico mostrando o desempenho de phishing humano e de IA

Embora os e-mails de phishing elaborados por humanos tenham superado o desempenho da IA, foi uma disputa extremamente acirrada. Eis o motivo:

  • Inteligência emocional: os humanos entendem as emoções de uma forma que a IA só pode imaginar. Podemos criar narrativas que mexem com o coração e soam mais realistas, aumentando a probabilidade de os destinatários clicarem em um link malicioso. Por exemplo, os humanos escolheram um exemplo legítimo dentro da organização, enquanto a IA escolheu um tópico amplo, o que deixou o phishing gerado por humanos com mais credibilidade.
  • Personalização: além de incorporar o nome do destinatário na introdução do e-mail, também fornecemos uma referência a uma organização legítima, proporcionando vantagens concretas à sua força de trabalho.
  • Assunto curto e conciso: o e-mail de phishing gerado por humanos tinha um título curto e direto ("Pesquisa sobre o bem-estar do funcionário"), enquanto o e-mail de phishing gerado por IA tinha um título extremamente longo ("Desbloqueie o seu futuro: avanços limitados na empresa X"), o que poderia levantar suspeitas mesmo antes de os funcionários abrirem o e-mail.

O phishing gerado por IA não só perdeu para os humanos, como também foi relatado como suspeito com maior frequência.

Gráfico mostrando o desempenho de phishing humano e de IA

Conclusão: um vislumbre do futuro

Embora o X-Force não tenha testemunhado o uso em larga escala de IA generativa em campanhas atuais, ferramentas como o WormGPT, que foram criadas para serem LLMs irrestritas ou semirrestritas, foram vistas à venda em vários fóruns anunciando recursos de phishing – mostrando que os invasores estão testando o uso de IA em campanhas de phishing. Embora até mesmo versões restritas de modelos de IA generativa possam ser induzidas a phishing por meio de prompts simples, essas versões irrestritas podem oferecer formas mais eficientes para os invasores escalarem e-mails de phishing sofisticados no futuro.

Os humanos podem ter ganhado essa partida por pouco, mas a IA está sempre melhorando. Com o avanço da tecnologia, só podemos esperar que a IA se torne mais sofisticada e até mesmo supere os humanos um dia. Como sabemos, os invasores estão constantemente se adaptando e inovando. Só neste ano, vimos golpistas usarem cada vez mais clones de voz gerados pela IA para induzir as pessoas a enviar dinheiro, vales-presente ou divulgar informações confidenciais.

Embora os humanos ainda tenham vantagem na manipulação emocional e na criação de e-mails persuasivos, o surgimento da IA no phishing sinaliza um momento crucial nos ataques de engenharia social. Veja aqui cinco recomendações principais para que empresas e consumidores fiquem preparados:

  1. Na dúvida, ligue para o remetente: se você estiver questionando a legitimidade de um e-mail, ligue e verifique. Considere a possibilidade de escolher uma palavra segura com amigos próximos e familiares que você possa usar no caso de vishing ou golpe telefônico gerado por IA.
  2. Abandone o estereótipo de gramática: acabe com o mito de que os e-mails de phishing estão repletos de erros de gramática e ortografia ruins. As tentativas de phishing orientadas por IA são cada vez mais sofisticadas, muitas vezes demonstrando correção gramatical. Por isso, é imprescindível reeducar nossos funcionários e enfatizar que erros gramaticais não são mais o principal sinal de alerta. Em vez disso, devemos treiná-los para ficarem atentos à extensão e à complexidade do conteúdo do e-mail. E-mails mais longos, que geralmente são uma característica do texto gerado por IA, podem ser um sinal de alerta.
  3. Reformular os programas de engenharia social: isso inclui abordar técnicas como vishing nos programas de treinamento. Essa técnica é simples de executar e, muitas vezes, altamente eficaz. Um relatório da X-Force constatou que as campanhas de phishing direcionadas que incluíam chamadas telefônicas eram três vezes mais eficazes do que as que não incluíam.
  4. Fortalecer os controles de gerenciamento de acesso e identidade: sistemas avançados de gerenciamento de acesso e identidade podem ajudar a validar quem está acessando quais dados, se essas pessoas possuem as permissões adequadas e se são realmente quem dizem ser.
  5. Adapte-se e inove constantemente: a rápida evolução da IA significa que os cibercriminosos continuarão refinando suas táticas. Devemos adotar a mesma mentalidade de adaptação e inovação contínuas. A atualização regular do TTPS interno, dos sistemas de detecção de ameaças e dos materiais de treinamento dos funcionários é essencial para se manter um passo à frente de agentes mal-intencionados.

A ascensão da IA nos ataques de phishing nos desafia a reavaliar a abordagem à cibersegurança. Ao adotar essas recomendações e permanecermos vigilantes diante da evolução das ameaças, podemos fortalecer as defesas, proteger as empresas e garantir a segurança de nossos dados e pessoas na dinâmica era digital atual.

Para mais informações sobre a pesquisa de segurança da X-Force, inteligência de ameaças e insights de hackers, visite o X-Force Research Hub.

Para saber mais sobre como a IBM pode ajudar as empresas a acelerar sua jornada de IA com segurança, clique aqui.

