No seguimento das várias notícias recentemente divulgadas sobre a popularidade crescente de ferramentas de Inteligência Artificial como o ChatGPT, a empresa de cibersegurança Sophos tem estado a acompanhar o assunto de perto, de forma a poder aconselhar as organizações e pessoas em todo o mundo sobre as suas potenciais implicações de segurança.
A Sophos divulga agora um comentário oficial do seu especialista Chester Wisniewski, Principal Research Scientist:
“Tradicionalmente, nos seus esforços de cibersegurança, as empresas têm apostado na formação dos colaboradores, capacitando-os para identificarem e prevenirem possíveis ameaças. No entanto, com os progressos recentes da Inteligência Artificial (IA), a simples formação de segurança dos utilizadores finais está a tornar-se cada vez menos eficaz para proteger as organizações contra ciberataques. As ameaças que recorrem a IA são cada vez mais sofisticadas e difíceis de detetar, mesmo para quem tem uma formação extensa.
O que é que isto significa? Que já lá vão os dias em que podíamos depender dos nossos utilizadores finais para defender as empresas de ameaças recebidas. Durante anos, ensinámo-los a identificar links de phishing, a procurar cadeados nos URLs e a evitar redes de Wi-Fi inseguras. De alguma forma, apesar de todos estes esforços, o ransomware continua a persistir a um nível sem precedentes e as violações de dados são mais comuns do as disquetes eram nos anos 90.
Um dos elementos mais eficazes dos programas de formação era a observação de erros de gramática e ortografia ou textos que não “soassem bem” – algo que poderia ser especialmente relevante em casos de comprometimento de emails corporativos (BEC, na sua sigla em inglês), em que os destinatários podem conhecer relativamente bem a pessoa que supostamente lhes estava a enviar o email.
Contudo, agora entrou em jogo o ChatGPT, uma ferramenta de inteligência artificial da OpenAI com a qual podemos interagir e a quem podemos pedir para fazer coisas. A iteração atual utiliza um modelo de formação chamado GPT-3.5 e é assustadoramente boa a dar-nos respostas credíveis – e às vezes até exatas. Se lhe pedimos respostas longas, tende a atrapalhar-se um pouco, mas é excelente a responder a perguntas mais curtas e sobretudo se falarmos em inglês.
Será que ferramentas como o ChatGPT vão eliminar o último elemento detetável de muitos dos golpes, spams e esquemas de phishing contra os quais já lutamos? Tenho de dizer que sim. É perfeito? Não. Mas é bom o suficiente para auxiliar os criminosos a criar fraudes cada vez mais fiáveis? Definitivamente sim, e já está a acontecer. Imagine que estava a conversar com este bot pelo WhatsApp ou pelo Microsoft Teams. Seria capaz de o identificar?
Todos os tipos de aplicações de IA já chegaram a um ponto em que são capazes de enganar um ser humano durante praticamente 100% do tempo. A “conversa” que podemos manter com o ChatGPT é notável, e também já dispomos da capacidade de gerar rostos humanos falsos quase indiscerníveis (por humanos) de fotos reais. Assim, se um criminoso decidir criar uma empresa falsa para perpetrar um golpe, o seu caminho está facilitado. Pode gerar 25 rostos falsos com um ar perfeitamente verdadeiro e recorrer ao ChatGPT para escrever as suas biografias; depois, é só criar algumas contas falsas do LinkedIn e está tudo a postos.
Sim, estou mesmo a dizê-lo: a IA colocou o último prego no caixão da sensibilização de segurança dos utilizadores finais. Estou a sugerir que paremos completamente de formar as pessoas em cibersegurança? Não – mas precisamos de fazer um reset total das nossas expectativas.
Precisamos de ensinar os nossos colaboradores a ser desconfiados e a verificar comunicações que envolvam acesso a informações ou cujos temas tenham a ver com dinheiro ou finanças. Têm de saber fazer perguntas, pedir ajuda e investir algum tempo adicional para confirmar que as coisas são realmente o que parecem. Não estamos a ser paranóicos; eles ‘andam mesmo aí’.”
Saiba mais sobre a Sophos no site oficial
Este artigo é da autoria de Chester Wisniewski, Principal Research Scientist da Sophos
Outros artigos interessantes: