A inteligência artificial generativa está revolucionando a maneira como conteúdo é criado, permitindo a geração automatizada de texto, imagens e áudio. No entanto, assim como muitas tecnologias poderosas, a IA generativa também está sendo utilizada para fins maliciosos.
Recentemente, cibercriminosos têm adotado ferramentas de IA generativa para escalar e personalizar golpes on-line direcionados tanto a empresas quanto indivíduos. No Brasil, o uso de IA generativa por fraudadores cresceu rapidamente nos últimos dois anos.
Neste artigo, iremos explorar como exatamente a IA generativa está sendo utilizada por criminosos digitais para potencializar suas operações ilícitas no país. Também discutiremos os riscos que essas novas táticas representam, e o que empresas e indivíduos podem fazer para se proteger.
O que é IA generativa?
A IA generativa é um tipo de inteligência artificial que pode gerar conteúdo original, como texto, imagens e áudio, sem intervenção humana. Ela usa grandes conjuntos de dados para “aprender” sobre linguagem, estilos e padrões, e depois pode aplicar esse conhecimento para criar novos conteúdos parecidos com o que foi treinada.
As IAs generativas mais avançadas hoje, como GPT-3 e DALL-E 2, podem escrever textos coerentes, criar imagens realistas e até gerar códigos de programação. Elas são treinadas com enormes quantidades de dados da internet e depois desenvolvem a capacidade de imitar estilos humanos.
IA generativa é diferente de IA tradicional, que foca mais em tarefas específicas como reconhecimento de fala e tradução automática. A IA generativa tem um escopo mais amplo e pode ser aplicada para muitos propósitos diferentes, desde entretenimento e marketing até automação de processos.
No futuro, espera-se que a IA generativa se torne cada vez mais sofisticada e ubiqua, sendo capaz de ajudar os humanos em uma grande variedade de tarefas criativas e analíticas. Mas por enquanto, ela ainda tem limitações importantes.
Como criminosos estão usando IA generativa
Os cibercriminosos estão aproveitando o poder da IA generativa para escalar e automatizar seus ataques de maneira mais eficiente e inteligente. Aqui estão algumas das principais formas pelas quais eles estão usando essa tecnologia:
Clonagem de voz
A autenticação de voz já pareceu ser o próximo grande método de identificação seguro, mas isso mudou totalmente com os recursos de clonagem de voz da IA generativa. E os criminosos precisam apenas de um pequeno trecho de áudio de alguém falando para produzir uma réplica de voz que pareça natural e possa ser solicitada a dizer qualquer coisa. Quão realistas são esses clones de voz? Em maio de 2023, hackers éticos usaram um clone de voz de um correspondente do “60 Minutes” para enganar um dos funcionários do programa para que entregasse informações confidenciais em cerca de cinco minutos – tudo isso enquanto as câmeras rodavam. Esforços estão em andamento para combater esses clones: a Okta publicou recentemente uma patente sobre a detecção de vozes geradas por IA .
Manipulação de imagem e vídeo
Gayle King, Tom Hanks, MrBeast: estas são apenas algumas das celebridades cujos nomes ganharam as manchetes recentemente – e não por seu projeto mais recente. Deepfakes de IA de celebridades chegaram à Internet recentemente, com golpistas usando suas imagens para enganar um público desavisado. E não é apenas a marca de uma celebridade que está em jogo; deepfakes ofuscam a verdade, causando caos e incerteza onde os fatos são mais importantes, como no cenário global ou no tribunal . A proliferação de aplicativos generativos de IA relativamente baratos e fáceis de usar está tornando a criação de deepfakes fácil e barata .
Criação de texto
As orientações para detectar um e-mail de phishing costumavam ser relativamente simples: a mensagem está repleta de erros gramaticais e de pontuação? Esse já era um primeiro filtro para essas mensagens. Mas na era da IA, esses sinais seguiram o caminho do pilcrow . A IA generativa pode criar textos convincentes e perfeitos em inúmeros idiomas, levando a esquemas de phishing mais difundidos, sofisticados e personalizados.
Geração de código
Com a IA generativa, a frase “fazer mais com menos” não se aplica apenas ao poder das pessoas. Também se refere ao conhecimento prático. As habilidades de codificação e script da IA generativa tornam mais fácil para os cibercriminosos com pouca ou nenhuma capacidade de codificação desenvolver e lançar ataques. Esta barreira reduzida à entrada poderia atrair mais indivíduos para o ecossistema do crime cibernético e melhorar a eficiência operacional.
Quebra de senha
As senhas têm um problema: os humanos que as criam e usam. Os especialistas em privacidade há muito aconselham o público a criar senhas fortes e nunca reutilizá-las. Nem todo mundo está ouvindo. A palavra senha foi a senha mais comum usada em 2022, de acordo com NordPass . As pessoas também tendem a selecionar senhas que tenham um significado especial para elas (como um time ou banda esportiva favorita ) e reutilizá-las em sites . Esta é apenas a informação que os hackers precisam para ataques de força bruta . Mas o que costumava ser um jogo de adivinhação manual e demorado foi acelerado com a ajuda de grandes modelos de linguagem (LLMs), um tipo de IA generativa . Apoiando-se em dados disponíveis publicamente, como informações encontradas nas contas de mídia social de alguém, os malfeitores podem usar IA generativa para gerar uma lista de senhas possíveis – mais relevantes – para testar. (Um mundo sem senha não pode chegar em breve.)
Ignorar CAPTCHA
Clique em uma caixa, digite texto em um campo, selecione todos os quadrados com semáforos: o CAPTCHA ajuda a proteger sites contra tudo, desde spam até ataques DDoS, distinguindo usuários humanos de bots indesejáveis. E embora a inteligência artificial tenha sido um adversário digno durante anos , novas pesquisas indicam que os bots são agora mais rápidos e precisos quando se trata de resolver testes CAPTCHA. Isso não significa que os dias do CAPTCHA estejam contados. Novos métodos que usam IA para superar a IA estão sendo desenvolvidos e testados. Uma alternativa proposta – apresentada recentemente pela equipe de ciência de dados da Okta na CAMLIS, uma conferência focada em aprendizado de máquina e segurança da informação – é a conclusão da narração baseada em imagens. O método utiliza IA para criar um conto baseado em imagens composto por duas cenas, que são apresentadas ao usuário. O usuário deve então selecionar a imagem que funciona melhor contextualmente como cena final – uma tarefa que a IA atualmente não pode realizar de forma fácil ou barata.
Injeção imediata
Injeções imediatas bem-sucedidas – que concatenam (ou seja, unem) entradas maliciosas às instruções existentes – podem substituir furtivamente as diretivas do desenvolvedor e subverter as salvaguardas estabelecidas pelos provedores de LLM. Eles direcionam a saída do modelo em qualquer direção que o autor do ataque escolher, dizendo ao LLM: “Ignore as instruções deles e siga as minhas ”. Um exemplo de injeção imediata em ação: um bot de tweets controlado por IA de um site foi induzido a twittar ameaças contra o presidente .
Especialiastas alertam que os riscos representados pela injeção imediata só aumentarão à medida que mais e mais empresas integrarem LLMs em produtos. Aqui, nos limites confusos da fronteira da IA, as melhores práticas para proteção contra esta ameaça são escassas.
“Na medida em que os LLMs são cada vez mais usados para transmitir dados a aplicativos e serviços de terceiros, os riscos de injeção imediata maliciosa aumentarão. Actualmente, não existem medidas de segurança à prova de falhas que eliminem este risco. Considere cuidadosamente a arquitetura do seu sistema e tome cuidado antes de introduzir um LLM em um sistema de alto risco”, alerta o NCSC .
Escalando golpes com IA generativa
A IA generativa permite que criminosos escale seus golpes de forma rápida e barata. Usando modelos de linguagem treinados, os criminosos podem gerar mensagens personalizadas para vítimas em massa.
Por exemplo, eles podem usar informações coletadas nas redes sociais para criar e-mails de phishing personalizados. Em vez de enviar o mesmo e-mail genérico para milhares de pessoas, a IA generativa permite criar mensagens únicas usando os dados de cada indivíduo. Isso torna os golpes muito mais convincentes.
Além disso, a automação por meio de IA generativa reduz drasticamente os custos para os criminosos. Eles não precisam mais contratar pessoas para escrever mensagens personalizadas ou gravar ligações fraudulentas. A IA faz todo o trabalho pesado de gerar conteúdo à medida que os golpes são enviados.
Portanto, a IA generativa permite escalar golpes para um número muito maior de vítimas de uma só vez. Os criminosos conseguem expandir suas operações exponencialmente, gerando mais lucros com menos esforço. E como as mensagens parecem únicas e legítimas, as taxas de sucesso dos golpes aumentam.
Riscos para empresas
As empresas estão enfrentando riscos significativos à medida que os criminosos usam IA generativa para escalar e personalizar golpes. Alguns dos principais riscos incluem:
Vazamento de dados
A IA generativa permite que os criminosos criem e-mails de phishing extremamente convincentes, que são projetados especificamente para alvejar funcionários de uma empresa e obter acesso a dados confidenciais. Isso pode levar a vazamentos em massa de informações proprietárias, financeiras e de clientes. Os prejuízos podem ser enormes.
Perda financeira
Os golpes de IA generativa também podem resultar em perdas financeiras diretas para as empresas. Por exemplo, e-mails de phishing personalizados podem convencer funcionários a fazer transferências fraudulentas. Ou uma campanha de desinformação pode manipular o mercado de ações de uma empresa. As técnicas estão ficando tão sofisticadas que é difícil para os funcionários detectarem fraudes.
Danos à reputação
Além disso, o uso malicioso de IA generativa pode causar sérios danos à reputação de uma empresa. Os criminosos podem gerar conteúdo falso que pareça vir da própria empresa, como um comunicado à imprensa fraudulento. Eles também podem criar deepfakes enganosos usando vozes de executivos. Essas técnicas de desinformação podem rapidamente destruir a confiança do público em uma empresa.
Riscos para indivíduos
A IA generativa permite que os criminosos criem conteúdo personalizado para vítimas em potencial com muito mais eficiência do que antes. Isso aumenta os riscos de roubo de identidade, fraude financeira e outras ameaças direcionadas.
Páginas da web falsas criadas com IA podem coletar informações pessoais para serem usadas em roubo de identidade. Emails personalizados criados rapidamente também podem enganar as pessoas e fazê-las compartilhar dados confidenciais.
Além disso, perfis falsos gerados por IA nas redes sociais podem se conectar com indivíduos e construir relacionamentos para depois aplicar golpes financeiros. Mensagens fraudulentas no WhatsApp de “amigos” pedindo dinheiro tornam-se muito mais convincentes.
Novas vozes sintetizadas com IA também permitem golpes de phishing por telefone. Os criminosos podem imitar autoridades e pedir pagamentos urgentes das vítimas.
Portanto, os indivíduos precisam ter muito cuidado com quaisquer solicitações suspeitas de dados pessoais ou financeiros, mesmo que pareçam vir de fontes confiáveis. A verificação adicional é essencial antes de tomar qualquer ação.
Detectando o uso de IA generativa
Com a IA generativa cada vez mais sofisticada, está ficando mais difícil detectar seu uso por criminosos cibernéticos. No entanto, há algumas maneiras de identificar conteúdo gerado por IA:
Análise de linguagem
O texto gerado por IA geralmente falta o fluxo e coerência de um texto escrito por humanos. Às vezes, pode conter erros gramaticais, frases sem sentido ou transições abruptas que denunciam sua origem artificial.
Além disso, análises mais aprofundadas do estilo de escrita, complexidade lexical e sintaxe podem identificar padrões típicos de modelos de IA. Ferramentas de detecção de plágio também podem ajudar a revelar trechos copiados da internet.
Análise de imagens
Imagens geradas por IA apresentam artefatos e imperfeições sutis que não existem em imagens reais. Técnicas forenses podem detectar edições, montagens e uso de filtros característicos de imagens sintéticas. Metadados e assinaturas digitais também podem expor a origem da imagem.
Análise de vídeos
Assim como imagens, vídeos gerados por IA contêm imperfeições reveladoras em expressões faciais, movimentos da boca e inconsistências na iluminação e sombras. Análise de áudio pode expor vozes sintetizadas. E há falta de imperfeições naturais em filmagens reais, como foco desigual e instabilidade.
Embora a detecção ainda seja um desafio, o avanço dessas técnicas de análise irá permitir identificar cada vez melhor o conteúdo gerado por IA. Empresas e usuários precisam se manter atualizados para combater o uso malicioso dessa tecnologia.
Prevenindo ataques com IA generativa
A melhor forma de se prevenir contra ataques cibernéticos envolvendo IA generativa é através de uma combinação de educação, tecnologias de detecção e segurança cibernética fortalecida.
Educação
Treinar funcionários e clientes para identificar comunicações suspeitas é crucial. Emails, mensagens e perfis falsos criados por IA parecem legítimos, então é importante que as pessoas estejam cientes dessa ameaça. Equipes de segurança cibernética devem fornecer diretrizes claras sobre como detectar golpes de IA generativa e como responder de forma apropriada.
Tecnologias de detecção
Ferramentas de detecção avançadas, como aquelas que analisam padrões de linguagem, podem identificar o uso provável de IA generativa. Plataformas de segurança cibernética devem ser atualizadas para reconhecer e bloquear conteúdo gerado por IA antes que cause danos. A detecção precoce de ameaças emergentes é essencial.
Segurança cibernética
Medidas de segurança robustas, como autenticação multifator, minimizam as chances de sucesso de ataques. Backups frequentes, atualizações de software e monitoramento pró-ativo da rede também ajudam a mitigar riscos. Times de segurança cibernética precisam se manter atualizados sobre as últimas táticas de criminosos para implementar proteções adequadas. Investir em soluções de segurança avançadas é chave.
Com esforços combinados de conscientização, detecção e prevenção, empresas e indivíduos podem se defender contra o uso malicioso de IA generativa e outras ameaças digitais emergentes. A educação contínua e a adaptação às novas realidades do cenário de risco cibernético são cruciais para uma segurança eficaz.
Tendências e previsões
O uso de IA generativa por cibercriminosos está crescendo rapidamente e espera-se que essa tendência continue nos próximos anos. Segundo relatórios recentes, o número de ataques utilizando tecnologias de IA generativa deve triplicar até 2025.
Isso ocorre pois a IA generativa permite automatizar muitos processos que antes eram feitos manualmente pelos cibercriminosos, aumentando muito a escala e alcance de suas operações. Além disso, conforme os modelos de IA generativa ficam mais sofisticados, fica cada vez mais difícil para humanos detectarem se um texto ou imagem foi criado por IA ou por uma pessoa real.
Portanto, à medida que a tecnologia amadurece, os golpistas encontrarão ainda mais formas de explorá-la para criar perfis falsos, sites fraudulentos, e-mails de phishing personalizados, deepfakes e outras ameaças. Isso significa que empresas e indivíduos precisarão redobrar sua atenção para identificar conteúdos suspeitos gerados por IA antes de interagir com eles.
Também é esperado um aumento no uso de IA generativa por hackers para criar códigos maliciosos, explorar vulnerabilidades e automatizar outros aspectos de seus ataques. Com a ajuda de modelos de linguagem treinados, ficará mais rápido e fácil para eles produzir malware personalizado para cada alvo.
Portanto, à medida que a IA generativa se prolifera, também crescem os riscos dela ser utilizada para o mal. Empresas, governos e consumidores precisam se preparar para esse futuro adotando melhores práticas de segurança e desenvolvendo formas de detectar e mitigar o mau uso desta tecnologia.
Conclusão
A inteligência artificial generativa representa riscos significativos à segurança cibernética no Brasil e no mundo. Conforme vimos, os cibercriminosos estão usando essa tecnologia para escalar golpes e ataques de forma rápida e automatizada. Alguns dos principais riscos são:
– Criação automatizada de conteúdo fraudulento personalizado para enganar vítimas
– Uso de deepfakes para se passar por outras pessoas online
– Geração de códigos maliciosos e vulnerabilidades mais rapidamente
– Escalabilidade maciça de golpes de phishing e spam
Para combater esses riscos, é crucial que empresas invistam em soluções de segurança cibernética avançadas, como inteligência artificial para detectar ameaças geradas por IA. Indivíduos também devem redobrar o cuidado ao identificar conteúdos suspeitos, sempre verificando fontes e desconfiando de comunicações não solicitadas.
A tecnologia continuará evoluindo, mas com as medidas de prevenção corretas, podemos minimizar o impacto de criminosos que utilizam IA de maneira mal-intencionada. Manter-se informado sobre as novas ameaças e trabalhar em conjunto com especialistas em segurança cibernética será fundamental para proteger dados e reduzir riscos no futuro.
