BLOG

Nós somos todos o alvo: IA generativa e a automação do spear phishing

Miniatura de Jim Downey
Jim Downey
Publicado em 26 de outubro de 2023

Não muito tempo atrás, podíamos identificar e-mails de phishing pela ortografia incorreta, erros gramaticais e sintaxe diferente do inglês. Pudemos identificar estratégias genéricas e amplamente utilizadas, como o golpe do príncipe nigeriano. A maioria de nós não enfrentou ataques de spear phishing bem elaborados e direcionados porque o custo de pesquisar nossos antecedentes e elaborar mensagens personalizadas tem sido muito alto para os criminosos. Com a IA generativa, isso está mudando rapidamente. Como profissionais de segurança, precisamos nos preparar para as consequências.

A IA generativa permite a automação de ponta a ponta do spear phishing, reduzindo seu custo e ampliando seu uso. Pense no trabalho que um invasor deve realizar para criar uma mensagem de spear phishing eficaz para comprometer um e-mail comercial (BEC). O invasor escolhe um alvo, pesquisa suas redes sociais, descobre suas conexões mais próximas e identifica os interesses do alvo. Com essas informações, o invasor cria um e-mail personalizado em um tom de voz que visa evitar suspeitas. O trabalho exige um acompanhamento cuidadoso de pistas e intuição psicológica.

Esse trabalho poderia ser automatizado? Certamente, os invasores automatizam a coleta de conteúdo de mídia social e usam o credential stuffing para assumir o controle de contas para coleta de informações. Por meio da automação, os invasores podem criar um gráfico de conhecimento sobre a vida de um alvo.

Com esse gráfico de conhecimento, os invasores podem inserir informações altamente pessoais em um serviço semelhante ao ChatGPT — sem salvaguardas éticas — para criar mensagens de spear phishing direcionadas e eficazes. O invasor pode criar sequências inteiras de mensagens que abrangem vários canais, de e-mail a mídias sociais, com mensagens originadas de várias contas falsas, cada uma com uma persona bem elaborada gerada com base nas propensões de confiança do alvo.

Há sinais de que essa ameaça é iminente. Relatos de novas ferramentas de ataque à venda na dark web, incluindo WormGPT e FraudGPT , indicam que criminosos começaram a adaptar IA generativa para propósitos nefastos, incluindo phishing. Embora o uso dessa tecnologia ainda não tenha atingido a automação de ponta a ponta em larga escala, as peças estão se encaixando, e a dinâmica econômica do crime cibernético torna o desenvolvimento quase inevitável.

Dentro da economia do crime cibernético, há uma especialização que impulsiona a inovação. O Fórum Econômico Mundial (FEM) estima que o crime cibernético é agora a terceira maior economia do mundo, atrás dos Estados Unidos e da China, com custos esperados para chegar a US$ 8 trilhões em 2023 e US$ 10,5 trilhões em 2025. Como em qualquer grande economia, a economia do crime cibernético inclui fornecedores com especializações: há fornecedores que vendem credenciais roubadas, fornecedores que fornecem acesso a contas comprometidas e fornecedores que oferecem proxy de endereço IP em dezenas de milhões de endereços IP residenciais.

Além disso, há provedores de phishing como serviço que oferecem kits de ferramentas completos, desde modelos de e-mail até sites proxy de phishing em tempo real. (Veja o artigo de Jay Kelley sobre como sites de phishing usam TLS válido para falsificar sites reais.) À medida que os fornecedores competem para ganhar os negócios dos criminosos, os maiores prêmios irão para as organizações que fornecerem o serviço de ponta a ponta de menor custo — uma dinâmica que provavelmente impulsionará a automação do spear phishing. Podemos imaginar organizações especializadas em vários tipos de coleta de dados em torno de alvos, agregação de dados e LLMs focados em setores específicos ou que se destacam em diferentes tipos de fraude.

Dada a probabilidade de aumento de spear phishing para novos alvos, as organizações precisam reforçar suas práticas antiphishing existentes.

Treinamento de conscientização de nível superior sobre phishing: Há muito tempo é importante educar regularmente os funcionários sobre os perigos do phishing, como reconhecer e-mails suspeitos e quais medidas tomar caso se deparem com uma possível tentativa de phishing. No entanto, muitas organizações treinam funcionários para reconhecer e-mails de phishing por meio de erros de ortografia e gramática. Em vez disso, o treinamento terá que ser mais profundo para capacitar as pessoas a ficarem atentas a qualquer solicitação de uma fonte não confiável e não verificada. Ao conduzir campanhas simuladas de phishing para testar a capacidade dos funcionários de identificar e-mails de phishing, use mensagens de phishing bem escritas, profissionais, direcionadas a funcionários específicos e originárias de fontes que pareçam legítimas.

Defenda-se contra proxies de phishing em tempo real: Os invasores geralmente usam phishing para ignorar a autenticação multifator (MFA) por meio de proxies de phishing em tempo real. Os criminosos usam phishing para enganar os usuários e fazê-los inserir suas credenciais e senhas de uso único em um site que eles controlam, que eles então usam como proxy para o aplicativo real para obter acesso. (Para mais informações sobre bypass e defesas de MFA, consulte o whitepaper: O MFA resolve a ameaça de apropriação indébita de contas? )

Defenda-se com mais rigor contra invasões de contas: Criminosos ganham controle de contas em grande escala por meio de roubo de credenciais usando bots, o que resulta em um grande número de invasões de contas. Além da fraude financeira, os criminosos coletam dados pessoais adicionais por meio de scraping, que podem ser usados em outros ataques de phishing. A defesa eficaz contra bots requer coleta avançada de sinais e aprendizado de máquina.

Use IA para combater IA: Com criminosos explorando IA generativa para cometer fraudes, as organizações devem utilizar a IA em sua defesa. A F5 faz parcerias com organizações para aproveitar a coleta avançada de sinais e a IA para combater fraudes. O F5 Distributed Cloud Account Protection monitora transações em tempo real durante toda a jornada do usuário para detectar atividades maliciosas e fornecer taxas precisas de detecção de fraudes. Se você puder detectar fraudes dentro de aplicativos, isso reduzirá os danos do phishing. (Inspecionar o tráfego com IA requer descriptografar o tráfego de forma eficiente, o que você pode fazer com eficiência com a orquestração TLS .)

Conclusão

A IA generativa apresenta um novo conjunto de desafios de segurança . Com o surgimento do spear phishing automatizado, precisamos desaprender muitas de nossas heurísticas de confiança. Embora no passado pudéssemos confiar com base nas aparências de profissionalismo, agora precisamos de protocolos mais rigorosos para determinar a veracidade das comunicações. Precisamos ficar mais desconfiados nesta nova era de campanhas de desinformação, deep fakes e spear phishing automatizado, e as organizações precisarão implementar a IA na defesa com pelo menos o mesmo rigor com que os criminosos a usam contra nós.

Para acompanhar a evolução do cenário de ameaças, fique ligado nas últimas novidades do F5 Labs . Se sua organização estiver sob ataque, entre em contato com a F5 para obter suporte.