As ferramentas de IA já estão a ajudar os criminosos a cometer ciberataques

PorExpresso das Ilhas,10 mar 2023 8:44

Tradicionalmente, nos seus esforços de cibersegurança, as empresas têm apostado na formação dos colaboradores, capacitando-os para identificarem e prevenirem possíveis ameaças. No entanto, com os progressos recentes da Inteligência Artificial (IA), a simples formação de segurança dos utilizadores finais está a tornar-se cada vez menos eficaz para proteger as organizações contra ciberataques. As ameaças que recorrem a IA são cada vez mais sofisticadas e difíceis de detectar, mesmo para quem tem uma formação extensa.

O que é que isto significa? Que já lá vão os dias em que podíamos depender dos nossos utilizadores finais para defender as empresas de ameaças recebidas. Durante anos, ensinámo-los a identificar links de phishing, a procurar cadeados nos URLs e a evitar redes de Wi-Fi inseguras. De alguma forma, apesar de todos estes esforços, o ransomware continua a persistir a um nível sem precedentes e as violações de dados são mais comuns do as disquetes eram nos anos 90.

Um dos elementos mais eficazes dos programas de formação era a observação de erros de gramática e ortografia ou textos que não “soassem bem” – algo que poderia ser especialmente relevante em casos de comprometimento de emails corporativos (BEC, na sua sigla em inglês), em que os destinatários podem conhecer relativamente bem a pessoa que supostamente lhes estava a enviar o email.

Contudo, agora entrou em jogo o ChatGPT, uma ferramenta de inteligência artificial da OpenAI com a qual podemos interagir e a quem podemos pedir para fazer coisas. A iteração actual utiliza um modelo de formação chamado GPT-3.5 e é assustadoramente boa a dar-nos respostas credíveis – e às vezes até exatas. Se lhe pedimos respostas longas, tende a atrapalhar-se um pouco, mas é excelente a responder a perguntas mais curtas e sobretudo se falarmos em inglês.

Será que ferramentas como o ChatGPT vão eliminar o último elemento detectável de muitos dos golpes, spams e esquemas de phishing contra os quais já lutamos? Tenho de dizer que sim. É perfeito? Não. Mas é bom o suficiente para auxiliar os criminosos a criar fraudes cada vez mais fiáveis? Definitivamente sim, e já está a acontecer. Imagine que estava a conversar com este bot pelo WhatsApp ou pelo Microsoft Teams. Seria capaz de o identificar?

Todos os tipos de aplicações de IA já chegaram a um ponto em que são capazes de enganar um ser humano durante praticamente 100% do tempo. A “conversa” que podemos manter com o ChatGPT é notável, e também já dispomos da capacidade de gerar rostos humanos falsos quase indiscerníveis (por humanos) de fotos reais. Assim, se um criminoso decidir criar uma empresa falsa para perpetrar um golpe, o seu caminho está facilitado. Pode gerar 25 rostos falsos com um ar perfeitamente verdadeiro e recorrer ao ChatGPT para escrever as suas biografias; depois, é só criar algumas contas falsas do LinkedIn e está tudo a postos.

Sim, estou mesmo a dizê-lo: a IA colocou o último prego no caixão da sensibilização de segurança dos utilizadores finais. Estou a sugerir que paremos completamente de formar as pessoas em cibersegurança? Não – mas precisamos de fazer um reset total das nossas expectativas.

Precisamos de ensinar os nossos colaboradores a ser desconfiados e a verificar comunicações que envolvam acesso a informações ou cujos temas tenham a ver com dinheiro ou finanças. Têm de saber fazer perguntas, pedir ajuda e investir algum tempo adicional para confirmar que as coisas são realmente o que parecem. Não estamos a ser paranóicos; eles ‘andam mesmo aí’.

Concorda? Discorda? Dê-nos a sua opinião. Comente ou partilhe este artigo.