A inteligência artificial (IA) está presente em muitas situações do nosso dia a dia – desde o uso de dispositivos inteligentes e assistentes de voz, como Siri e Alexa, até o corretor ortográfico móvel. Usada para facilitar a vida das pessoas, a tecnologia também pode se tornar uma arma poderosa nas mãos do cibercrime. Um dos usos mais comuns da inteligência artificial por criminosos é na criação de vídeos ou áudios deepfake para dar mais credibilidade a golpes de engenharia social – mas esse não é o único.
Além dos deepfakes, os golpistas também usam a IA para aperfeiçoar golpes de phishing e quebrar senhas. Durante o 7º ESET Cybersecurity Forum, que aconteceu nos dias 25 e 26 de outubro, o pesquisador de segurança Sol Gonzales detalhou como a tecnologia já atua a serviço dos cibercriminosos. O Armário para Vestiário Blog esteve presente no evento e, nas falas a seguir, explica como a inteligência artificial pode atuar como aliada dos crimes virtuais.
- Deepfake: veja 10 dicas para identificar vídeos falsos
📝 É possível criar uma inteligência artificial em casa? Descubra no Fórum Armário para Vestiário Blog
1. Deepfake
Os vídeos deepfake, que usam inteligência artificial para fazer as pessoas dizerem e fazerem coisas que nunca fizeram na vida real, têm sido amplamente utilizados na disseminação de notícias falsas e na preocupação de especialistas em desinformação em todo o mundo. Quando combinados com táticas de engenharia social, eles também podem ser uma preocupação para a segurança cibernética.
O conteúdo de deepfake pode tornar golpes como sequestros falsos muito mais sofisticados. Usando software de inteligência artificial, os criminosos podem gerar vídeos ou áudios falsos para induzir a vítima a pensar que um membro da família está em uma emergência e precisa, por exemplo, de seus dados bancários para fazer um saque.
Episódios como esse já estão acontecendo: em agosto de 2019, criminosos usaram um programa especializado para clonar a voz e se passar por um CEO alemão, dono de uma empresa de energia no Reino Unido. A fraude envolvendo deepvoice gerou um prejuízo de € 220 mil (cerca de R$ 1,1 milhão, pelo preço da época) para a empresa.
2. Spear phishing
Em geral, a maioria das campanhas de phishing segue a tática “spray and pray”: os golpistas enviam mensagens para milhares ou milhões de usuários ao mesmo tempo, sem critérios definidos de segmentação . Mesmo que apenas uma pequena porcentagem de destinatários caia no golpe, os criminosos ainda terão lucro.
Existe, no entanto, uma forma de fraude mais estratégica e eficaz: o spear phishing. Nele, os criminosos usam o aprendizado de máquina para prever quais usuários, dentro de um determinado banco de dados, têm maior probabilidade de cair no golpe e, assim, otimizar o perfil das vítimas. Com o apoio da inteligência artificial, os golpistas podem enviar campanhas direcionadas e criar mensagens mais atraentes.
3. Malware inteligente que interfere no aprendizado de máquina
Malware capaz de enganar sistemas de reconhecimento facial para conceder acesso aos serviços secretos de criminosos pode parecer algo saído de um filme de ficção científica, mas não está tão longe da realidade. De acordo com Sol Gonzales, pesquisador de segurança da ESET, é possível treinar malware inteligente, capaz de desafiar mecanismos de segurança.
O especialista explica que criminosos podem, por exemplo, envenenar modelos de aprendizado de máquina durante a fase de treinamento, seja com o objetivo de causar mau funcionamento ou permitir que o hacker controle as previsões do algoritmo. Para fazer isso, o invasor insere dados incorretos ou rotulados incorretamente no conjunto de treinamento dos modelos, para que aprendam os padrões errados.
Assim, um hacker pode infectar um modelo de reconhecimento de software malicioso rotulando o malware como um programa legítimo e fazendo com que o sistema não rejeite a ameaça em questão. Em uma escala maior, os invasores podem contaminar o software de reconhecimento facial para identificar criminosos, de modo que o programa passe a rotular os culpados como inocentes.
4. Quebrando senhas
A inteligência artificial também pode ser usada como aliada do cibercrime na quebra de senhas. Em 2017, pesquisadores criaram um programa que, usando aprendizado de máquina, é capaz de gerar senhas realistas com base no comportamento humano. Apelidado de PassGAN, o software foi capaz de adivinhar mais de 25% de um conjunto de 43 milhões de senhas vazadas de perfis do LinkedIn.
O programa utiliza duas redes neurais: a primeira é responsável por criar palavras-chave artificiais. Depois de receber senhas reais obtidas de violações de dados, o software aprende como os humanos criam os códigos (adicionando seu ano de nascimento ao nome do seu primeiro animal de estimação, por exemplo) e gera novas senhas com base nisso. comportamento.
A segunda rede neural tem a função de distinguir palavras-chave criadas por inteligência artificial de senhas criadas por humanos. Se não conseguir distinguir os códigos, significa que o PassGAN teve sucesso em sua missão. Embora possa ser usada por empresas em testes de penetração para garantir que as senhas dos funcionários sejam seguras, a tecnologia também pode ser empregada por cibercriminosos para violar contas.
com informações de Inc
*O jornalista viajou para Mangaratiba a convite da ESET.
Veja também: Quatro lugares onde os hackers podem encontrar informações sobre você