De acordo com um relatório recente da Gartner, o uso da inteligência artificial (IA) em ataques cibernéticos tem sido o maior risco para as empresas por três trimestres consecutivos.
A empresa de consultoria entrevistou 286 executivos seniores de risco e auditoria entre julho e setembro, e os resultados mostraram que 80% dos entrevistados expressaram grande preocupação com ataques maliciosos aprimorados por IA. Essa tendência não é surpreendente, pois há evidências de que os ataques cibernéticos que usam IA estão aumentando.
Nota da imagem: Imagem gerada por IA, fornecedora de serviços de licenciamento de imagens Midjourney
O relatório também lista outros riscos emergentes, incluindo desinformação assistida por IA, polarização política crescente e alocação inadequada de talentos organizacionais. Os atacantes estão usando IA para escrever malwares, criar e-mails de phishing, etc. Por exemplo, no caso da HP, pesquisadores interceptaram em junho uma campanha de e-mail que espalhava malware, suspeitando que o script foi escrito com a ajuda de IA generativa. A estrutura do script era clara, com comentários para cada comando, algo incomum em scripts escritos manualmente.
De acordo com dados da empresa de segurança Vipre, no segundo trimestre de 2023, o número de ataques de fraude por e-mail comercial aumentou 20% em comparação com o mesmo período do ano anterior, com quase metade deles sendo gerados por IA. CEOs, RH e pessoal de TI foram os principais alvos. Usman Choudhary, diretor de produto e tecnologia da Vipre, disse que os criminosos estão usando algoritmos de IA sofisticados para criar e-mails de phishing convincentes, imitando o tom e o estilo de comunicações legítimas.
Além disso, de acordo com um relatório da Imperva Threat Research, de abril a setembro, sites de varejo sofreram uma média de 569.884 ataques impulsionados por IA por dia. Os pesquisadores apontam que ferramentas como ChatGPT, Claude e Gemini, e bots que coletam dados de sites para treinar modelos de linguagem grandes, estão sendo usados em atividades como ataques de negação de serviço distribuído e abuso de lógica de negócios.
Um número crescente de hackers éticos também admite usar IA generativa, com a porcentagem aumentando de 64% no ano passado para 77%. Esses pesquisadores dizem que a IA pode ajudar em ataques multicanal, ataques de injeção de falhas e ataques automatizados, atacando vários dispositivos simultaneamente. Assim, se os "bons" acham a IA útil, os "maus" também usarão essa tecnologia.
A ascensão da IA não é surpreendente, pois reduz a barreira para a entrada no crime cibernético, permitindo que criminosos com menor nível de habilidade técnica usem IA para gerar deepfakes, escanear portas de rede, realizar reconhecimento, etc. Pesquisadores da ETH Zurich recentemente desenvolveram um modelo que consegue resolver 100% dos problemas do Google reCAPTCHA v2. Analistas da empresa de segurança Radware previram no início do ano que a ascensão de modelos GPT privados seria usada para fins maliciosos, levando a um aumento no número de vulnerabilidades zero-day e fraudes de deepfake.
A Gartner também observa que, pela primeira vez, problemas relacionados a fornecedores de TI essenciais entraram na lista de preocupações dos executivos. Zachary Ginsburg, diretor sênior de prática de risco e auditoria da Gartner, afirma que clientes que dependem muito de um único fornecedor podem enfrentar riscos maiores. Como no caso do dStrike em julho, que deixou 8,5 milhões de dispositivos Windows em todo o mundo fora do ar, afetando serviços de emergência, aeroportos e órgãos de aplicação da lei.
