AI Phishing e personificação: A nova era do comprometimento do correio eletrónico empresarial

Até o funcionário mais experiente em termos de segurança pode ser apanhado desprevenido por um e-mail convincente.

Até o funcionário mais atento à segurança pode ser apanhado desprevenido por um e-mail convincente. A ascensão do phishing com IA alterou as regras da engenharia social. Os atacantes já não se baseiam em mensagens mal escritas ou em esquemas óbvios, estão agora a criar comunicações personalizadas, fluentes e oportunas que parecem reais.

O pessoal precisa agora de compreender e reconhecer toda uma nova geração de ameaças em que a autenticidade pode ser falsificada e a confiança pode ser transformada numa arma.

Dos esquemas de copiar e colar à precisão da IA

Nos primeiros tempos do phishing, detetar um ataque não era muito difícil. Endereços de correio eletrónico duvidosos, gramática estranha e promessas irrealistas eram os sinais mais evidentes. Mas tudo isso mudou.

Os atacantes actuais estão a utilizar técnicas de phishing com IA para escrever em linguagem natural, imitar o tom interno e até adaptar-se à voz da marca de uma organização. Com apenas alguns detalhes publicamente disponíveis, como um perfil do LinkedIn, um comunicado de imprensa da empresa ou uma assinatura de e-mail, podem gerar mensagens que parecem ter vindo diretamente da tua organização.

Se ainda não viste, Cyber Police é a nossa premiada série de eLearning que transforma ameaças cibernéticas reais em histórias emocionantes. Recorrendo ao drama e ao realismo, mostra como as acções quotidianas podem levar a grandes falhas de segurança, ajudando os funcionários a reconhecer os riscos, a mudar comportamentos e a criar uma consciência duradoura. No caso que inspirou a Temporada 4, Episódio 1, uma campanha de spear-phishing visou executivos seniores de um grupo hoteleiro. Os e-mails pareciam vir de um membro da equipa financeira, direcionando os destinatários para um portal de login falso. As credenciais foram recolhidas, os fundos foram transferidos para o estrangeiro e toda a operação foi executada com uma precisão assustadora.

A IA tornou possível que os atacantes o fizessem:

• Imita o tom e o estilo: Ao analisar mensagens reais, produziram e-mails que correspondem à forma como as equipas internas escrevem.
• Personaliza em grande escala: A IA pode criar rapidamente centenas de variações do mesmo esquema, fazendo com que cada uma pareça exclusivamente relevante.
• Reage em tempo real: Os chatbots e as ferramentas de automatização permitem que os criminosos respondam às respostas instantaneamente, mantendo a ilusão de legitimidade.

Isto resultou num ataque que parece humano, mas não é.

Embora os cenários do Cyber Police sejam fictícios, são inspirados em incidentes reais; os mesmos tipos de ataques que já afectaram organizações em todo o mundo e que continuam a afetar todos os dias.

Porque é que o phishing moderno e o phishing com IA funcionam tão bem

Se achas que o teu pessoal não cairia num e-mail falso, pensa outra vez. As campanhas de phishing mais bem sucedidas não se baseiam em truques técnicos; exploram o comportamento humano.

Três factores tornam estas fraudes modernas tão eficazes:

1. Confia. Estamos predispostos a confiar numa comunicação que nos pareça familiar. Se uma mensagem vem de um nome conhecido, usa o tom certo e faz referência a projectos actuais, a nossa resposta natural é agir rapidamente em vez de a questionar.
2. Autoridade. Os cibercriminosos compreendem a hierarquia. As mensagens que parecem vir de um gestor, diretor ou cliente desencadeiam um desejo automático de cumprimento, especialmente quando são mencionados prazos ou consequências.
3. Acelera. A urgência é a melhor amiga do engenheiro social. “Por favor, autoriza este pagamento imediatamente.” “Podes iniciar sessão para aprovar esta atualização?” Estas frases levam as pessoas a agir antes de terem tido a oportunidade de pensar criticamente

Combina estas alavancas psicológicas com a precisão da IA e tens uma ameaça que parece quase impossível de detetar sem a devida sensibilização e controlo.

Não é que os empregados não estejam a ser cautelosos, é apenas porque as mensagens são demasiado boas.

Construir melhores defesas contra o phishing orientado por IA

A tecnologia, por si só, não resolve este problema. Firewalls, filtros e gateways de e-mail seguros são essenciais, mas não conseguem apanhar tudo, especialmente quando a ameaça vem disfarçada de um colega de confiança.

As organizações precisam de uma defesa em camadas que combine processos, tecnologia e pessoas.

1. Processos de verificação
   Incentiva os empregados a verificarem quaisquer pedidos inesperados ou de elevado valor através de um canal secundário, como um telefonema, uma mensagem de equipa ou uma verificação presencial. Procedimentos claros devem tornar fácil (e expetável) a dupla verificação antes de agir.
2. Autenticação Multi-Fator (MFA)
   Mesmo que as credenciais sejam roubadas, a MFA acrescenta uma barreira extra. No entanto, os atacantes estão a aprender a contornar a MFA utilizando phishing de voz alimentado por IA e prompts de deepfake, pelo que a sensibilização para estas tácticas é tão importante como a própria tecnologia.
3. Educação de sensibilização contínua
   Fazer alguma educação de sensibilização com a sua equipa uma vez não é suficiente. As campanhas de phishing simuladas, a aprendizagem de tamanho reduzido e os exercícios baseados em cenários ajudam a manter a consciencialização na mente. É importante que os funcionários se sintam confiantes para identificar e comunicar actividades suspeitas.
4. Ferramentas de segurança de correio eletrónico
   As soluções modernas de segurança de correio eletrónico utilizam a aprendizagem automática para detetar padrões invulgares, como inícios de sessão a partir de locais inesperados ou alterações no estilo de comunicação. Combinadas com a vigilância humana, estas ferramentas proporcionam uma forte defesa contra ameaças em constante evolução.

Transformar a consciencialização em mudança de comportamento

O conhecimento é apenas metade da batalha. A verdadeira resiliência surge quando as pessoas compreendem por que razão estão a ser visadas e como as suas acções podem impedir um ataque.

É aí que entra o storytelling. A formação tradicional tem muitas vezes dificuldade em causar impacto porque fala sobre o risco em vez de o mostrar. Mas quando os funcionários vêem as consequências de um simples clique serem trazidas à vida através de um drama do mundo real, como na série Cyber Police, a consciencialização torna-se memorável.

Combinando a aprendizagem prática com o impacto emocional, as organizações podem transformar a sensibilização para o ciberespaço, de um exercício de preenchimento de formulários, numa verdadeira mudança de comportamento.

Trabalha com o MetaCompliance

O phishing não está a desaparecer, está a evoluir. À medida que as ferramentas de IA tornam a personificação mais rápida, mais inteligente e mais convincente, todas as organizações precisam de reforçar a sua camada humana de defesa. Foi por isso que criámos a série Cyber Police, que faz parte do nosso vasto conjunto de ferramentas de sensibilização para a Gestão dos Riscos Humanos.

Cyber Police é uma série de ação ao vivo que transforma ameaças cibernéticas reais em histórias inesquecíveis, ajudando as organizações a mudar comportamentos e a reforçar as suas defesas humanas.

Cada temporada aborda os ataques que os funcionários mais provavelmente enfrentam – desde phishing e ransomware até deepfakes – reimaginando-os como episódios realistas e emocionantes que permanecem com os espectadores muito tempo depois de terem terminado de ver.

Ao verem as ameaças através dos olhos das pessoas afectadas, os funcionários desenvolvem uma consciência mais forte, instintos mais aguçados e a confiança para responderem eficazmente quando é mais importante.

Descobre mais sobre como a Cyber Police transforma ameaças cibernéticas reais em histórias inesquecíveis.