Engenharia social impulsionada por IA: ferramentas e estratégias auxiliares

Em um comunicado recente, o FBI enfatizou: “Conforme a tecnologia continua a se transformar, as táticas dos cibercriminosos também se adaptam.”

Este artigo analisa alguns dos impactos dessa aceleração promovida pela GenAI e avalia o que isso significa para os gestores de TI encarregados de fortalecer defesas e minimizar vulnerabilidades.

Mais realismo, pretextos aprimorados e ataques multilíngues

As táticas tradicionais de engenharia social costumam envolver a personificação de alguém familiar ao alvo. O atacante pode recorrer a e-mails para estabelecer contato, incorporando gatilhos psicológicos para aumentar as chances de uma invasão bem-sucedida. Isso pode incluir uma solicitação urgente, reduzindo o tempo de reflexão da vítima, ou a utilização do nome do CEO da empresa, apostando no respeito à hierarquia para evitar questionamentos.

Se a abordagem for por voz, o criminoso pode fingir ser alguém com quem o alvo nunca conversou pessoalmente, como um colaborador de outro setor ou um representante externo.

Entretanto, essas táticas costumam falhar quando a vítima tenta verificar a identidade do interlocutor, seja por meio de uma chamada de vídeo ou ao analisar o estilo de escrita em uma conversa em tempo real.

Agora, com a chegada da GenAI, o cenário mudou.

O avanço dos vídeos deepfake permite que os invasores não precisem mais se esconder atrás de e-mails e mensagens de texto. Ao combinar gravações autênticas, eles conseguem analisar e replicar os maneirismos e padrões de fala de uma pessoa. Com isso, podem gerar deepfakes capazes de dizer qualquer coisa ou até mesmo servir como uma máscara digital que reproduz em tempo real os gestos e expressões do invasor.

O crescimento do trabalho remoto, onde reuniões virtuais se tornaram comuns, facilita a dissimulação de possíveis sinais suspeitos. Movimentos artificiais ou variações sutis na voz? Basta culpar uma conexão instável. O contato visual durante uma chamada de vídeo reforça nossa tendência natural de acreditar no que vemos.

A tecnologia de clonagem de voz também tem um papel fundamental, permitindo que criminosos imitem qualquer timbre vocal e realizem ataques de phishing por voz, conhecidos como vishing. O avanço dessa técnica foi refletido na recomendação da OpenAI para que instituições financeiras eliminem gradualmente a autenticação baseada em voz como medida de segurança para o acesso a contas bancárias e informações sigilosas.

A comunicação por texto também foi revolucionada pela GenAI. O crescimento dos LLMs possibilita que agentes mal-intencionados interajam de forma praticamente nativa, adaptando-se até mesmo a dialetos regionais para maior naturalidade. Isso amplia o alcance dos ataques de engenharia social, pois a barreira linguística deixa de ser um obstáculo na escolha de vítimas.

Organizando OSINT não estruturado com GenAI

Qualquer pessoa que tenha navegado pela internet deixou rastros digitais em algum lugar. Dependendo do que for compartilhado, isso pode ser suficiente para expor informações que permitam personificação ou roubo de identidade. Aniversários divulgados no Facebook, cargos e empresas listadas no LinkedIn e postagens pessoais no Instagram podem fornecer pistas valiosas.

Esses dados possibilitam a construção de perfis detalhados para ataques direcionados a indivíduos e às instituições com as quais estão conectados. No passado, coletar essas informações exigia um trabalho manual demorado, pesquisando redes sociais e cruzando postagens públicas.

Agora, a IA realiza esse processo em alta velocidade, rastreando a internet em busca de dados não estruturados, organizando e correlacionando informações relevantes. Sistemas de reconhecimento facial, por exemplo, permitem que um invasor carregue uma foto e localize todas as ocorrências dessa imagem na web.

Além disso, como esses dados são publicamente acessíveis, podem ser extraídos e organizados de forma anônima. Mesmo ao utilizar ferramentas GenAI pagas, criminosos têm acesso a contas roubadas vendidas na dark web, garantindo sigilo sobre suas atividades e pesquisas.

Transformando bancos de dados vazados em minas de ouro

Vazamentos massivos de dados tornaram-se um elemento constante da era digital, desde os mais de 533 milhões de usuários do Facebook que tiveram suas informações comprometidas em 2021 até os 3 bilhões de contas do Yahoo expostas em 2024. Examinar manualmente volumes tão extensos de informações seria inviável.

Agora, ferramentas baseadas em GenAI podem organizar e analisar automaticamente enormes quantidades de dados, identificando conteúdos que podem ser explorados para fins ilícitos, como extorsão, exposição de conversas privadas ou roubo de Propriedade Intelectual contida em documentos sigilosos.

A IA também mapeia os autores desses documentos por meio de reconhecimento de entidades nomeadas, estabelecendo conexões comprometedoras entre diferentes partes, incluindo transferências financeiras e comunicações confidenciais.

Muitas dessas ferramentas são de código aberto, permitindo personalização com plugins e módulos específicos. O Recon-ng, por exemplo, pode ser configurado para coletar e-mails e realizar buscas avançadas em fontes OSINT. Já outras tecnologias, como o Red Reaper, não são acessíveis ao público e funcionam como sistemas de espionagem baseados em IA, capazes de analisar centenas de milhares de e-mails em busca de informações críticas que possam comprometer organizações.

O gênio da GenAI saiu da garrafa – sua empresa está vulnerável?

Os cibercriminosos agora utilizam a internet como um imenso banco de dados. Com um único fragmento de informação – seja um nome, um e-mail ou uma imagem –, a GenAI pode rastrear, processar e estabelecer conexões em tempo real.

A próxima etapa é selecionar a ferramenta adequada para exploração, muitas vezes operando em larga escala e de forma automatizada. Seja por meio de vídeos deepfake, clonagem de voz ou ataques via LLMs, práticas que antes exigiam conhecimento especializado agora estão amplamente acessíveis. O fenômeno do “hacking como serviço” tem democratizado essas atividades, reduzindo a necessidade de habilidades avançadas.

Mas como identificar quais informações sensíveis sobre sua organização podem estar expostas?

Desenvolvemos uma ferramenta de monitoramento de ameaças que faz esse rastreamento para você. Ela analisa continuamente os vastos recantos da internet, alertando sobre dados disponíveis que poderiam ser utilizados para criar ataques eficazes – permitindo que você aja antes que um invasor o faça.