Os ataques de engenharia social costumavam depender muito de tempo e esforço.
Os atacantes pesquisavam os seus alvos, escreviam manualmente e-mails de phishing e faziam cuidadosamente passar por pessoas ou organizações de confiança. Havia um limite para o que podiam fazer de forma realista ao mesmo tempo e, por isso, um limite para o número de alvos que podiam atacar de forma realista ao mesmo tempo.
A IA mudou isso completamente. O que antes demorava horas, agora leva apenas alguns segundos a fazer. Os atacantes conseguem criar e-mails de phishing convincentes num instante, recolher informações públicas para obter dados pessoais e personalizar mensagens para pessoas específicas em grande escala.

A engenharia social tornou-se mais rápida, mais barata e muito mais convincente.
Isso cria um problema grave para as organizações, porque estes ataques já não se baseiam em erros óbvios ou esquemas genéricos. São concebidos para parecerem genuínos, familiares e difíceis de questionar.
Por que é que a IA torna a engenharia social mais perigosa
Os ataques tradicionais de phishing costumavam dar nas vistas.
Erros ortográficos, linguagem estranha, formatação suspeita e saudações genéricas tornavam-nos mais fáceis de identificar. Os funcionários sabiam o que procurar, porque os sinais de alerta eram óbvios.
A IA elimina muitas dessas pistas. Agora, os atacantes conseguem criar comunicações bem elaboradas e profissionais que soam naturais e credíveis, com mensagens capazes de imitar o tom de voz de um colega, fazer referência a projetos reais e parecerem pessoalmente relevantes para quem as recebe. Isso faz com que as pessoas fiquem muito mais propensas a confiar no que estão a ver.
Um e-mail que parece ter sido enviado pelo teu chefe, uma mensagem no Teams que parece ter vindo dos RH ou um pedido que parece urgente e rotineiro ao mesmo tempo. Estes ataques são concebidos para diminuir a desconfiança e incentivar decisões rápidas.
A Ascensão dos Deepfakes e da Identidade Sintética
A tecnologia deepfake está a levar a engenharia social ainda mais longe.
As ferramentas de clonagem de voz e de vídeo gerado por IA estão a tornar-se cada vez mais acessíveis, dando aos atacantes novas formas de se fazerem passar por pessoas de confiança. Chamadas falsas de executivos e mensagens de vídeo manipuladas já estão a ser usadas em tentativas de fraude e esquemas financeiros.
O que é preocupante é o quanto esta tecnologia se tornou credível.
Os funcionários estão habituados a confiar em rostos e vozes que lhes são familiares, mas quando alguém soa como um dirigente sénior ou aparece no ecrã com um ar autêntico, as pessoas reagem instintivamente de forma diferente.
Em ambientes de trabalho agitados, onde as decisões são tomadas rapidamente, nem sempre é natural parar para questionar se uma chamada de voz ou vídeo é verdadeira. É exatamente nisso que os atacantes apostam.
Por que é que o comportamento humano continua a ser o alvo principal
A IA pode estar por trás destes ataques, mas as pessoas continuam a ser o verdadeiro alvo.
Os atacantes sabem como os funcionários se comportam sob pressão. Sabem que as pessoas reagem rapidamente à autoridade, à urgência e a estilos de comunicação familiares. Também sabem que os funcionários ocupados tendem mais a agir primeiro e a questionar depois.
A IA ajuda-os a explorar esses comportamentos mais rapidamente e numa escala muito maior. É por isso que a engenharia social continua a funcionar tão bem. Contorna os controlos técnicos ao convencer as pessoas a fornecerem voluntariamente informações, credenciais ou acesso e, à medida que a comunicação gerada pela IA se torna mais convincente, a diferença entre interações legítimas e maliciosas torna-se mais difícil de detectar.
Por que é que as abordagens mais antigas de formação em segurança já não funcionam
Foram criadas muitas formações de sensibilização para um tipo diferente de ataque de phishing. Os colaboradores aprenderam a identificar sinais de alerta óbvios, como erros ortográficos, formatação estranha e links suspeitos. Mas os ataques gerados por IA já não se parecem com isso.
Os e-mails de phishing de hoje em dia são bem elaborados, convincentes e personalizados. Os atacantes conseguem imitar estilos de comunicação e criar mensagens que parecem tão genuínas que conseguem enganar o instinto das pessoas, o que torna o desafio ainda maior para os colaboradores.
Os ataques de hoje são mais difíceis de identificar porque parecem bem elaborados e legítimos, o que faz com que a deteção dependa mais de perceberes quando algo parece estranho, apressado ou um pouco fora do normal — o que requer bom senso e experiência com cenários realistas.
Os colaboradores precisam de formação que reflita os ataques com que se deparam na realidade. Precisam de ver como a manipulação funciona na prática e perceber a rapidez com que a pressão e a urgência afetam a tomada de decisões.
É aí que a formação em sensibilização baseada em histórias faz mesmo a diferença.
A Cyber Police usa narrativas realistas e cenários cibernéticos dramatizados para mostrar como os ataques modernos se desenrolam, incluindo as técnicas de pressão e manipulação que os atacantes usam para influenciar o comportamento. Ver estas situações a desenrolarem-se no contexto ajuda os colaboradores a reconhecer sinais de alerta semelhantes no seu próprio ambiente de trabalho e a reagir com mais confiança quando algo parece errado.
A IA está a aumentar o volume de ataques
A IA também está a tornar os ataques de engenharia social mais fáceis de escalar. Os atacantes conseguem gerar e-mails de phishing em segundos, pesquisar alvos automaticamente e personalizar mensagens muito mais depressa do que antes. Isso significa que as organizações estão a lidar com mais ataques em mais canais de comunicação.
Para as equipas de segurança, isso representa um desafio. Já há uma enorme quantidade de atividade para monitorizar todos os dias, e o aumento do volume de ataques torna mais difícil identificar rapidamente comportamentos realmente perigosos.
Os funcionários também estão a lidar com a mesma pressão. E-mails, mensagens no Teams, ferramentas de colaboração, mensagens de texto, videochamadas. A comunicação nunca pára, e os atacantes sabem que as pessoas têm mais tendência a cometer erros quando estão distraídas ou a agir à pressa.
É por isso que a formação em sensibilização tem de parecer prática e relevante para a vida profissional real.
O lado psicológico dos ataques impulsionados pela IA
A engenharia social baseada em IA funciona porque se aproveita do comportamento humano normal. É natural que as pessoas confiem em nomes conhecidos e reajam à urgência, especialmente no trabalho. Querem ser prestáveis e evitar atrasos.
Os atacantes sabem disso e a IA ajuda-os a explorar esses comportamentos. É por isso que as organizações precisam de pensar para além dos controlos técnicos. Os colaboradores têm de se sentir à vontade para abrandar o ritmo quando algo lhes parece estranho e para verificar a informação antes de reagirem. Sem essa confiança, torna-se muito mais difícil impedir ataques convincentes.
Por que é que as organizações precisam de repensar a formação em sensibilização para a segurança
O aumento dos ataques baseados em IA está a obrigar as organizações a repensar a forma como abordam a sensibilização para a cibersegurança. Os módulos de e-learning estáticos e centrados na conformidade têm dificuldade em preparar os colaboradores para ataques concebidos para parecerem realistas e emocionalmente convincentes.
As pessoas aprendem melhor quando conseguem relacionar a formação com situações reais. Lembram-se muito mais de histórias, conversas e exemplos realistas do que de listas genéricas de sinais de alerta.
É por isso que a formação em sensibilização precisa de se tornar mais envolvente e mais próxima das situações com que os colaboradores se deparam no dia a dia. Os ataques modernos de engenharia social são concebidos para parecerem normais, por isso os colaboradores precisam de formação que os prepare para isso.
A preparar-se para a próxima geração de engenharia social
Os ataques baseados em IA vão continuar a evoluir, porque a tecnologia por trás deles está a tornar-se mais acessível e mais fácil de usar em grande escala. As organizações não podem basear-se em abordagens de sensibilização mais antigas, centradas em táticas de phishing ultrapassadas e sinais de alerta óbvios.
Os funcionários precisam de experiência prática com as técnicas de manipulação com que provavelmente se vão deparar, para ganharem confiança para questionar pedidos invulgares e abrandarem o ritmo quando algo lhes parecer errado.
As organizações que se adaptarem mais rapidamente serão aquelas que combinarem controlos técnicos de segurança robustos com formação de sensibilização realista e centrada no comportamento, porque quando a engenharia social se tornar uma prática generalizada, a formação de sensibilização não pode ficar presa ao passado.
Descobre mais sobre a Polícia Cibernética
A «Cyber Police» usa o drama para dar vida a ameaças cibernéticas reais, estimulando o debate e questionando as suposições sobre o que sabemos hoje em dia sobre ataques cibernéticos.
Cada temporada aborda os ataques a que os funcionários estão mais expostos, desde o phishing e o ransomware até aos deepfakes, e transforma-os em episódios emocionantes.
Ao verem as ameaças através dos olhos das pessoas afetadas, os colaboradores ganham uma perceção mais clara e a confiança necessária para reagir de forma eficaz.
Descobre mais sobre a Cyber Police e vê como a formação de sensibilização baseada em histórias ajuda os colaboradores a reconhecer e a responder às ameaças cibernéticas modernas com confiança.
Perguntas frequentes sobre engenharia social
O que é a engenharia social baseada em IA?
A engenharia social baseada em IA consiste na utilização da inteligência artificial para criar ataques de phishing mais convincentes e escaláveis, bem como fraudes de suplantação de identidade golpese comunicações fraudulentas, concebidas para manipular as pessoas a partilharem informações ou a tomarem medidas.
Porque é que os ataques de phishing baseados em IA são mais difíceis de detetar?
A IA permite que os atacantes criem mensagens bem elaboradas e profissionais, que soam naturais e relevantes para quem as recebe. Muitos dos sinais de alerta tradicionais que os funcionários foram ensinados a identificar já não são tão óbvios.
Que papel desempenham os deepfakes nos ciberataques?
Os deepfakes permitem que os atacantes imitem pessoas de confiança usando conteúdo de áudio ou vídeo falso. Isso pode ser usado para criar falsificações convincentes golpes, pedidos de pagamento fraudulentos ou comunicações internas falsas.
Porque é que a formação tradicional em sensibilização tem dificuldade em fazer face aos ataques modernos de engenharia social?
Muitos programas de sensibilização ainda se centram em táticas de phishing ultrapassadas e em sinais de alerta genéricos. Os ataques modernos baseiam-se mais na psicologia, na confiança, na urgência e numa comunicação credível, o que exige uma formação mais realista e centrada no comportamento.
Como é que as organizações podem preparar os seus colaboradores para as ameaças cibernéticas impulsionadas pela IA?
As organizações precisam de formação em segurança que reflita cenários de ataque reais e ajude os colaboradores a ganhar confiança para reconhecer técnicas de manipulação e a reagir de forma adequada sob pressão.