A evolução da Inteligência Artificial generativa está a transformar profundamente o panorama das ciberameaças, permitindo aos atacantes criar campanhas de 'phishing' e engenharia social cada vez mais sofisticadas, credíveis e difíceis de detetar.
Segundo especialistas da Check Point, a nova geração de ataques utiliza conteúdos hiperpersonalizados, clonagem de voz, deepfakes em vídeo e interações em tempo real para enganar colaboradores e provocar perdas financeiras significativas nas organizações.
O fenómeno, designado por augmented phishing, representa uma nova fase da engenharia social. Ataques que antes exigiam preparação manual e conhecimento técnico podem agora ser criados em segundos através de ferramentas de IA, permitindo aos cibercriminosos escalar operações e testar múltiplas variantes de fraude em muito pouco tempo.
Esta evolução está a tornar cada vez mais difícil identificar sinais tradicionais de fraude. Mensagens com erros ortográficos ou construções linguísticas suspeitas, que anteriormente denunciavam muitos ataques de phishing, estão a desaparecer à medida que os modelos de IA geram comunicações cada vez mais naturais e contextualizadas.
Deepfakes e fraude em tempo real aumentam impacto dos ataques
Nos últimos meses têm surgido exemplos concretos de como estas técnicas podem provocar danos significativos nas organizações.
Num dos casos mais mediáticos, um colaborador do departamento financeiro de uma empresa em Hong Kong foi enganado durante uma chamada de vídeo com identidades clonadas de executivos da empresa. Convencido da legitimidade da reunião, autorizou uma transferência financeira que resultou numa perda estimada entre 25 e 26 milhões de dólares.
Outro incidente ocorreu numa empresa do setor automóvel, quando colaboradores foram contactados numa reunião online por alguém que se fazia passar pelo CEO da organização. O ataque acabou por falhar depois de um funcionário fazer uma pergunta de verificação de identidade que o impostor não conseguiu responder.
Estes casos ilustram uma tendência crescente, os ataques de engenharia social estão a migrar para plataformas de colaboração, chamadas de voz e videoconferência, explorando contextos empresariais onde decisões rápidas e níveis elevados de confiança facilitam a fraude.
A nova realidade do phishing
A Inteligência Artificial está a transformar profundamente a forma como estas campanhas são conduzidas. Entre as principais mudanças destacam se:
- Hiperpersonalização das mensagens, com IA a reproduzir o estilo de comunicação de gestores, colegas ou parceiros de negócio;
- Ataques multimodais, que combinam email, chat corporativo, SMS, chamadas de voz e videoconferência.
- Criação rápida de múltiplas variantes de ataque, permitindo testar abordagens até encontrar a mais eficaz;
- Pressão psicológica em tempo real, com chamadas ou mensagens urgentes que incentivam decisões imediatas.
Neste contexto, a verificação de identidade e a adoção de procedimentos claros tornam se fatores críticos para reduzir o risco.
Como podem as organizações reduzir o risco?
Face à crescente sofisticação dos ataques, os especialistas da Check Point recomendam a adoção de práticas simples mas consistentes que reforcem a capacidade de resposta das equipas. Entre as principais medidas destacam se:
- Simulações de ataques em múltiplos canais, incluindo email, SMS, ferramentas de colaboração e chamadas de voz;
- Processos formais de verificação, especialmente para transferências financeiras, alterações bancárias ou pedidos urgentes;
- Campanhas regulares de sensibilização sobre IA e deepfakes, atualizadas com exemplos recentes de fraude;
- Monitorização de comportamentos de risco, permitindo reforçar a formação em grupos mais vulneráveis.
«Estamos a assistir a uma mudança profunda na forma como os ataques de engenharia social são conduzidos. A Inteligência Artificial permite aos atacantes criar mensagens altamente credíveis, imitar líderes empresariais ou colegas e explorar múltiplos canais de comunicação em simultâneo. Isto significa que as organizações têm de reforçar não apenas a tecnologia de segurança, mas também a literacia digital e os mecanismos de verificação interna», afirma Rui Duro, Country Manager da Check Point Software para Portugal.
