Deepfake Phishing cresceu 3.000% em 2023 – e está apenas começando

O phishing é talvez a ameaça à segurança cibernética mais persistente e só está piorando. Enquanto as pessoas forem pessoas, cometerão erros, portanto, atacar as fraquezas humanas é uma estratégia infalível para qualquer cibercriminoso. Embora isso não tenha mudado ao longo dos anos, as novas tecnologias levaram a uma versão muito mais sinistra dessas ameaças: o deepfake phishing.

O que é phishing deepfake?

Deepfakes usam algoritmos de aprendizado profundo para gerar conteúdo falso que se parece muito com o real. Vídeos falsificados de uma figura pública fazendo ou dizendo algo que nunca disse ou fez são exemplos comuns. O phishing Deepfake usa esse conteúdo gerado por IA para criar tentativas de phishing mais confiáveis.

Num caso, o CEO de uma empresa de energia enviou 220.000€ a um fornecedor após receber uma ligação do líder da controladora solicitando a troca. Porém, o verdadeiro chefe nunca ordenou essa transferência, e o “fornecedor” era a conta de um cibercriminoso. Acontece que a ligação era uma falsificação da voz do verdadeiro líder.

Esses ataques são perigosos porque os deepfakes são difíceis de distinguir da realidade. Eles também podem não ter sinais reveladores de phishing – como erros ortográficos ou links suspeitos – porque vêm na forma de conteúdo de áudio ou vídeo. À medida que a IA melhora, eles também se tornarão mais convincentes.

A ascensão do phishing deepfake

O phishing deepfake não é apenas perigoso – está crescendo a um ritmo alarmante. De acordo com um relatório, tentativas de fraude deepfake aumentaram 3.000% em 2023. A mesma pesquisa também descobriu que os cibercriminosos estão usando vídeos e imagens deepfake para contornar a segurança biométrica, o que pode levar a ataques de comprometimento de contas.

Esse aumento no phishing deepfake provavelmente decorre do fato de os modelos de aprendizagem profunda se tornarem mais acessíveis. Esses algoritmos avançados de IA costumavam exigir experiência em ciência de dados de alto nível ou um grande orçamento. Agora, estão disponíveis muitos modelos avançados de IA gratuitos ou de baixo custo que exigem pouco ou nenhum conhecimento de codificação para serem usados.

Essa mesma tendência provavelmente aumentará as tentativas de phishing deepfake no futuro. A IA generativa está mais acessível do que nunca. Embora isso tenha muitas implicações positivas, também significa que está se tornando cada vez mais fácil para os cibercriminosos criarem conteúdo falso convincente gerado por IA.

Phishing por e-mail custa empresas nos EUA uma média de US$ 4,91 milhões , mesmo sem ameaças deepfake predominantes. É apenas uma questão de tempo até que mais criminosos apliquem deepfakes a esse vetor de ataque lucrativo e relativamente fácil.

Como se proteger contra phishing deepfake

Embora o phishing deepfake seja ameaçador, as organizações podem se proteger contra ele. As etapas a seguir ajudarão as empresas e seus funcionários a permanecerem protegidos contra essas ameaças crescentes.

Acesso seguro à conta

Primeiro, as empresas precisam de proteger o acesso a todas as contas internas. O phishing deepfake é mais eficaz quando vem de uma conta real, confiável, mas comprometida. Conseqüentemente, dificultar a invasão deles prejudicará esses ataques.

A autenticação multifator (MFA) é essencial – e o tipo de MFA que as pessoas usam também é importante. Especialistas em segurança alertaram deepfakes pode enganar o reconhecimento facial e de voz ferramentas, então a biometria não é a opção mais segura. Códigos únicos baseados em aplicativos e chaves de hardware são opções de MFA mais seguras à luz de ameaças deepfake.

Treinar funcionários

Tal como acontece com o phishing normal, a formação dos funcionários também é crucial. Embora deepfakes possam ser difíceis de detectar, existem alguns sinais comuns. Erros visuais como trepidação ou desfoque são comuns em deepfakes, assim como sinais de áudio estranhos, como vozes distorcidas. Ensinar esses sinais aos funcionários e alertá-los sobre phishing deepfake diminuirá a probabilidade de eles caírem nessa.

Mesmo com esse treinamento, as pessoas não conseguirão detectar deepfakes com 100% de precisão. Conseqüentemente, também é importante enfatizar que todos devem agir com cautela. Como regra geral, se algo parecer suspeito ou mesmo um pouco estranho, verifique antes de confiar.

Lute contra IA com IA

À medida que o phishing deepfake se torna mais popular, combater fogo com fogo – ou IA com IA, mais precisamente – se tornará mais importante. A mesma tecnologia que torna possíveis os deepfakes pode ajudar a identificá-los, e vários modelos de detecção já estão disponíveis. Alternativamente, as empresas com vasta experiência em IA poderiam construir as suas próprias.

Os modelos de detecção podem superar os humanos na detecção de deepfakes, mas nenhum detector é 100% preciso ainda. Os cibercriminosos desenvolverão novas maneiras de contorná-los à medida que os métodos também melhorarem. Conseqüentemente, embora as proteções de IA sejam úteis, as organizações não deveriam confiar nelas.

Impor Failsafes

Como nenhum modelo humano ou de IA consegue detectar deepfakes o tempo todo, as empresas precisam de uma segunda e terceira linhas de defesa. Mais importante ainda, o fluxo de trabalho ou as paradas técnicas devem evitar que um erro coloque em risco a segurança da organização. A exigência de múltiplas etapas de autorização para grandes transferências financeiras é um ótimo exemplo.

Conceder a alguém acesso a dados confidenciais ou enviar uma quantia grande o suficiente de dinheiro deve exigir várias pessoas ou medidas de autenticação. Estas paragens podem prejudicar a eficiência, mas dão aos funcionários tempo para pensar sobre as suas ações. Envolver mais pessoas e sistemas também aumentará as chances da empresa de detectar um ataque deepfake.

Monitore ameaças em evolução

Por fim, as marcas e os especialistas em segurança devem ficar atentos às tendências do deepfake e do crime cibernético. O cibercrime evolui constantemente e a IA avança mais rapidamente do que muitas outras tecnologias, por isso é fácil que algumas defesas ou melhores práticas de segurança fiquem desatualizadas.

Novas ferramentas generativas de IA surgem várias vezes por mês , e algumas dessas atualizações podem tornar as ameaças mais perigosas. Alternativamente, algumas atualizações podem fornecer um meio mais eficaz de impedir o phishing deepfake. Ambas as mudanças são igualmente importantes de reconhecer. Avaliações frequentes das tendências atuais e auditorias dos processos de segurança interna ajudarão as empresas a acompanhar essas mudanças.

As práticas de segurança cibernética devem evoluir em meio a novas ameaças

O phishing pode não ser nada novo, mas novas tecnologias como os deepfakes acrescentam uma dimensão perigosa. Por mais entusiasmante que a IA seja, também é importante reconhecer como os cibercriminosos podem tirar partido das mesmas ferramentas que as empresas utilizam. A falha na evolução das práticas de segurança cibernética juntamente com as novas tecnologias pode deixar as organizações vulneráveis antes que elas percebam.

A conscientização e o treinamento continuam sendo etapas essenciais na prevenção de ataques de phishing. Quando os funcionários sabem que devem ficar atentos aos deepfakes, será menos provável que se apaixonem por eles. Enfatizar este elemento humano e ajustar frequentemente as defesas técnicas manterá as empresas seguras, apesar do avanço das ameaças.