O phishing sempre foi um espinho para a cibersegurança empresarial, e os recentes desenvolvimentos da IA como o ChatGPT estão a tornar as coisas ainda piores. Eis algumas diretrizes para lidar com a ameaça cada vez mais sofisticada do phishing.
Por Matthew Tyson
A emergência de poderosas ferramentas de processamento de linguagem natural, como o ChatGPT, significa que é tempo de começar a compreender como proteger contra ciberataques baseados na inteligência artificial (IA). As capacidades de geração de linguagem natural dos grandes modelos de linguagem (LLM) são uma combinação perfeita para um dos vetores de ataque mais importantes do cibercrime: o phishing. O phishing tem tudo a ver com enganar as pessoas, e a capacidade de gerar linguagem eficaz e outros conteúdos à escala é uma ferramenta importante no kit do hacker.
Felizmente, existem várias formas de mitigar esta ameaça crescente. Aqui propomos sete diretrizes para estarmos preparados na era do phishing baseado na IA:
Compreender a ameaça
Um líder de cibersegurança pode compreender onde estamos na história da aprendizagem de máquinas como uma ferramenta de hacking. Atualmente, a área de maior relevância em torno da IA para a cibersegurança é a geração de conteúdos. É aqui que a aprendizagem automática está a fazer o seu maior avanço e é perfeita para hackers com vetores tais como phishing e chatbots maliciosos. A capacidade de elaborar textos convincentes e bem formados está nas mãos de qualquer pessoa com acesso ao ChatGPT, e isso é basicamente qualquer pessoa com uma ligação à Internet.
“A procura de má gramática e ortografia incorreta é coisa do passado; até os e-mails de phishing pré-ChatGPT se tornaram mais sofisticados”, diz Conal Gallagher, CIO e CISO da empresa de gestão de TI Flexera. “Temos de nos perguntar: ‘O e-mail é esperado? O endereço do remetente é legítimo? Encoraja-o a clicar num link? A formação de sensibilização para a segurança ainda tem um papel a desempenhar aqui”.
Gallagher destaca a investigação da empresa de segurança informática WithSecure que demonstra uma série de interações com ChatGPT nas quais a IA gera e-mails de phishing eficazes. Esta e outras pesquisas confirmam o que nós próprios podemos dizer, que as barreiras de segurança destinadas a impedir a utilização de ferramentas de IA para fins ilegais não são fiáveis e que estão a ser criadas ferramentas à medida para esses fins.
Temos de reconhecer que a IA pode agora ser utilizada para gerar conteúdos eficazes e que melhorará a sua eficácia. As ferramentas de LLM irão melhorar, tornar-se mais acessíveis aos hackers e serão criadas ferramentas personalizadas para eles. Agora é uma boa altura para começar a pensar e a tomar medidas para reforçar as políticas de segurança.
Devemos também esperar que o conteúdo de phishing não só seja mais convincente, mas também mais bem direcionado, capaz de incorporar detalhes específicos de hora, local e evento. Os empregados já não podem confiar em sinais óbvios de que um e-mail é malicioso. As imagens, e mesmo áudio e vídeo, podem ser falsificadas com técnicas de geração de conteúdos. Deve ser continuamente reiterado que qualquer correio eletrónico inesperado é suspeito.
A mentalidade e a cultura são as principais defesas
“Noventa por cento da vitimização do crime cibernético poderia ser facilmente evitada se os utilizadores finais tivessem algumas competências chave”, diz Scott Augenbaum, agente especial supervisor reformado da Divisão Cibernética do FBI, à CSO. “Porque não começar por aí? Infelizmente, tudo o resto custa dinheiro e parece não funcionar. Gostava que alguém me dissesse que estou errado para que eu pudesse realmente reformar-me”.
“A sua primeira linha de defesa é tornar-se o seu próprio firewall humano”, diz Augenbaum. Por outras palavras, a mentalidade humana é a peça central da cibersegurança. Por conseguinte, cultivar essa mentalidade dentro de uma empresa é fundamental.
“A cultura come estratégia para o pequeno-almoço e deve vir sempre da gestão de topo”, diz Stu Sjouwerman, CEO da KnowB4. A mentalidade e o comportamento quotidiano dos funcionários é o sistema imunitário básico da empresa, pelo que é essencial formar sistematicamente os funcionários para estarem atentos à segurança. Com o phishing baseado na IA, a mensagem importante é que não se deve dar importância ao correio eletrónico e outras comunicações com base no quão polida e sofisticada é a sua linguagem. Os pescadores de phishing já não passam no teste do riso e os empregados são agora obrigados a estar mais vigilantes.
Fazer a coisa certa
O correio eletrónico e outros elementos da infraestrutura de software fornecem uma segurança fundamental incorporada que assegura, em grande medida, que não estamos em risco até que nós próprios tomemos medidas. Temos de estar muito conscientes do que estamos a fazer. A informação sensível não está em risco até um funcionário enviar uma resposta, executar um anexo ou preencher um formulário. O primeiro anel de defesa na nossa mentalidade deve ser: “O conteúdo que estou a analisar é legítimo, não só com base nos seus aspetos internos, mas tendo em conta todo o contexto? O segundo anel de defesa na nossa mentalidade deveria então ser: “Espera! Pedem-me para fazer algo aqui.
Quando os utilizadores dão um passo extra após receberem uma tentativa de phishing, isso é uma grande vitória para os maus atores: só com esse elemento no lugar é que um ataque pode prosseguir. Os profissionais de segurança devem treinar-se a si próprios, empregados e qualquer pessoa que ouça os sinais de aviso quando lhe for pedido para introduzir informações ou executar uma aplicação desconhecida.
Claro que, ao fazer algo como transferir dinheiro, o sentido de prudência deve ser aumentado. Com falsificações profundas, houve mesmo casos de empregados que acreditaram que os seus superiores lhes tinham enviado instruções legítimas para enviar dinheiro. Comunicações de grande importância devem ser verificadas num segundo canal, não falsificável.
“A primeira resposta de todos deveria ser visitar diretamente a organização e procurar a mensagem, em vez de clicar num link”, diz Bob Kelly, diretor de gestão de produtos da Flexera.
Realizar simulações de phishing
A única maneira de ver como uma empresa se está a sair bem no combate ao phishing é testar. A realização de campanhas de phishing com conteúdo gerado por IA é uma parte importante da luta contra esta ameaça. A realização de uma campanha eficaz é um tema em si, mas a raiz de uma boa campanha começa com o estabelecimento de objetivos concretos: devem ser usadas métricas mensuráveis para orientar os testes. Um bom exemplo é medir a frequência com que são relatados e-mails de phishing, e depois mover a agulha sobre esse indicador.
A criação de uma campanha anti-phishing também ajudará a compreender quão úteis podem ser as ferramentas de IA na geração de conteúdos eficazes. Isto irá ajudar a reforçar a necessidade de levar o problema a sério. “Embora a IA seja persistente, é possível tornar a sua segurança resiliente se reforçar frequentemente as melhores práticas de segurança e testá-las”, diz Trevor Duncan, engenheiro de segurança da JumpCloud, à CSO. “Se não está atualmente a envolver os seus empregados em ataques simulados de engenharia social, isso é um grande elemento a acrescentar num plano para 2023 para melhorar a sua postura de segurança e trazer resiliência ao seu programa de segurança”.
Incorporação de ferramentas que automatizam a deteção de IA
OpenAI (a empresa por detrás do ChatGPT) e outros lançaram ferramentas para detetar texto gerado por IA. Estas ferramentas continuarão a melhorar juntamente com os geradores de PNL, e podem ser integradas e automatizadas para ajudar a detetar conteúdos maliciosos. Muitos fornecedores de ferramentas de análise de emails estão a começar a aproveitar a IA para ajudar a refinar a forma como compreendem contextos tais como metadados e localização ao avaliar o que é conteúdo legítimo. Combater o fogo com o fogo – neste caso, utilizar a IA para combater a IA – é uma parte importante do futuro da cibersegurança.
A deteção de phishing é uma parte fundamental de uma estratégia global de rede e de infraestrutura, e é especialmente eficaz quando a infiltração e a infraestrutura de reconhecimento da IA é combinada com a deteção e prevenção da IA. Muitas das principais empresas de segurança estão a avançar para incorporar tais ferramentas nas suas ofertas, tais como a Okta e a DarkTrace.
“Os robots são uma ferramenta eficaz para os atacantes, uma vez que alavancam a IA e a aprendizagem de máquinas para se adaptarem rapidamente e superarem as mudanças na segurança”, diz Jameeka Green Aaron, CISO da identidade do cliente na Okta, ao CSO. “Se quisermos ficar à frente da curva, temos de alavancar a automação que é construída para ingerir inteligência de ameaças em tempo real e autenticação adaptativa, que é um método de verificação da identidade de um utilizador com base em fatores, tais como localização, estado do dispositivo e comportamento do utilizador final”.
A deteção de IA é uma fronteira ativa na investigação da aprendizagem de máquinas. Esta investigação continuará a ser trazida para a empresa como uma ferramenta para combater o phishing baseado na IA, e deverá ser um espaço a ser vigiado de perto nos próximos meses.
Fornecer um mecanismo simples para denunciar o phishing
Alertar a segurança para o phishing é essencial para lidar com ataques baseados em IA. Uma vez que as campanhas de IA podem ser produzidas em massa de forma mais eficiente, é importante reconhecê-las à medida que se desenvolvem. Isto permite que os funcionários sejam rapidamente informados e fornece dados críticos para ferramentas anti-phishing e modelos de deteção de IA.
Para além de facilitar a comunicação, assegurar que o mecanismo capta o máximo de informação possível para aumentar o seu valor e torná-lo acionável. O reencaminhamento de um e-mail para um endereço de notificação é bom para a captura de todos os cabeçalhos e metadados de um e-mail e um portal com um formulário simples é bom para a notificação de sites de phishing e afins. Os governos estão cada vez mais a encorajar as organizações a incluir políticas de DMARC (autenticação de mensagens baseadas em domínios, notificação e conformidade), incluindo a CISA, que fornece uma série de recomendações.
A comunicação de phishing é uma parte vital de qualquer infraestrutura de segurança robusta e a comunicação eficaz torna-se especialmente importante no contexto de campanhas de IA devido à maior capacidade dos atacantes de escalar ataques ao estilo spear-phishing (ataques que incorporam dados específicos de dentro da organização) através da automatização, recolha e incorporação de tal informação. Este é um bom aspeto em que se deve concentrar ao testar sistemas de deteção e comunicação de phishing.
Incorporação de autenticação resistente ao phishing
A autenticação baseada em palavra-chave é inerentemente suscetível ao phishing, com técnicas como o Captcha particularmente vulneráveis à IA. Por outro lado, existem métodos de autenticação resistentes ao phishing. As chaves de passagem são provavelmente o modo de autenticação mais resistente ao phishing. Estão ainda a ser desenvolvidos e utilizados, mas estão a tornar-se cada vez mais comuns. Uma vez adotados, eles são basicamente à prova de adulteração.
A autenticação multi-fator (AMF) também ajuda, porque a simples exposição de um nome de utilizador, senha combinada num site de phishing ou interação não é suficiente para um hacker obter acesso a um recurso se for necessário um autenticador secundário. A CISA publicou uma visão geral das MFA resistentes ao phishing.