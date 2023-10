Um dos principais aspectos é a cibersegurança Cibersegurança é a proteção de informações pessoais e tudo o que fazemos por meios digitais - cibercrimes, por sua vez, são as práticas ilegais cometidas com esses meios . Sistemas de inteligência artificial são usados por ambos os lados : criminosos aplicam a tecnologia para criar novos golpes, enquanto empresas desenvolvem estratégias de segurança mais eficazes.

Desde então, o uso de IA virou a nova "moda" em tecnologia — algo adiantado meses antes com o surgimento de chatbots e assistentes virtuais em todo tipo de sites e aplicativos. Como toda tecnologia, no entanto, a inteligência artificial traz benefícios, mas pode ter riscos.

Com o lançamento do ChatGPT, no final de 2022, o tema da inteligência artificial ganhou os holofotes . A plataforma, similar a uma conversa por mensagens, permite a usuários leigos testar funções avançadas de inteligência artificial (IA).

Em seguida, outra parte da inteligência artificial é aplicada. Desta vez é o programa que cria as imagens, usando as informações recebidas na etapa anterior . Novamente, milhares de fotos e ilustrações, mas agora elaborados pela IA.

O exemplo usado foi a criação de imagens, mas o processo é similar para todas as aplicações de IA. O ChatGPT, por exemplo, passou por milhares de iterações até conseguir dizer qual é a capital do Uzbequistão (Tasquente) ou sugerir uma receita que leve apenas ovo, banana e amido de milho (panquecas: misture os ingredientes até virarem uma massa homogênea e leve-os à frigideira).

Para demonstrar a capacidade destes sistemas, em específico os de criação de imagens, todas as figuras usadas neste texto foram feitas com o uso de IAs generativas.

Cometendo crimes com Inteligência Artificial

Foto ilustrativa sobre segurança digital Crédito: Bemfica de Oliva/Dall-E

Ao pensar na relação entre crimes e inteligência artificial, grande parte das pessoas imaginará cenários como os filmes "Matrix" (1999) ou "O Exterminador do Futuro" (1991). O risco de uma revolta das máquinas criando a Skynet e extinguindo a humanidade, porém, continua tão distante quanto antes da criação do ChatGPT.

Mas isso não significa que inteligências artificiais não estejam sendo usadas para práticas ilegais. A diferença é o método. Via de regra, criminosos aplicam sistemas de IA para tornar mais eficientes práticas ilegais que já existem.

Raul Colcher, membro sênior do Instituto dos Engenheiros Elétricos e Eletrônicos (IEEE), pontua que praticamente todos os tipos de cibercrimes têm sido aprimorados com o uso de IA. Segundo o especialista, a tecnologia é usada "seja para implementar fórmulas inovadoras de ataques, seja para tornar mais potentes ou efetivas as fórmulas tradicionais".

Um dos exemplos são ataques de ransomware Modalidade de ataque hacker que pode ser de dois tipos: no primeiro, arquivos com informações sensíveis, como segredos industriais, são roubados, e a empresa é chantageada para que os criminosos não vazem as informações; no segundo, os arquivos não são roubados, mas sim criptografados, ficando ilegíveis, e os invasores exigem um "resgate" ("ransom"em inglês) para fornecer a senha que desfaz a criptografia . Colcher afirma que eles têm sido "turbinados" com IA, adquirindo "grande sofisticação e aumento de efetividade". Além de vitimar empresas, as plataformas de inteligência artificial são usadas amplamente para crimes contra pessoas.

A empresa de segurança digital Eset realizou, no começo de 2023, uma série de testes com o próprio ChatGPT. Pesquisadores da companhia pediram para o robô realizar diversas atividades ilegais, como sugerir brechas de segurança em sistemas; escrever um e-mail para roubo de dados financeiros, fingindo ser o setor de atendimento de um banco; e até mesmo elaborar notícias fraudadas.

Fabiana Ramirez, pesquisadora de Segurança da Informação da empresa de cibersegurança Eset, afirma que o aplicativo evita a criação destes materiais, mas algumas mudanças sutis no prompt hama-se "prompt" a solicitação por texto que se faz a uma inteligência artificial; é preciso "refinar" o prompt, mudando ou adicionando palavras, caso a resposta da IA não seja a esperada conseguem burlar esta limitação. Em outros casos, o ChatGPT alerta sobre possíveis usos maliciosos, mas mesmo assim elabora o conteúdo ilegal.

Outra possibilidade é usar robôs para fazer pessoas acreditarem estar conversando com outros humanos. Os sistemas de IA generativa Inteligências artificiais generativas são as que usam o chamado "modelo generativo", tipo de operação estatística, para definir qual deve ser a próxima palavra a escrever em uma resposta de texto, ou como elaborar uma ilustração recebem instruções como se fossem mensagens de texto Isto é chamado "processamento de linguagem natural" (PLN) - na busca, por exemplo, ao digitar "com quantos anos morreu a rainha Elizabeth II", o Google retorna uma caixa já com a informação exata, em vez de apenas listar sites que tenham as palavras usadas na pesquisa. Embora seja parte fundamental das IAs generativas, o PLN não é usado apenas em inteligências artificiais , e respondem também de forma similar a uma conversa. Isto pode tornar os golpes "muito persuasivos", segundo Ramirez.

A pesquisadora destaca que existe uma API Do inglês "Application Programming Interface", API é uma técnica que permite a outras pessoas usarem "pedaços" de um programa sem ter acesso ao código-fonte; no caso do ChatGPT, a API envia a mensagem do usuário ao robô, e devolve a resposta fornecida por ele - como é possível "treinar" o ChatGPT para executar funções específicas, pode-se ensiná-lo sobre o funcionamento dos sistemas de um banco, por exemplo, e ele será capaz de atender, por texto, aos clientes do banco do ChatGPT, permitindo o uso da tecnologia em outros chats — mediante o pagamento de uma taxa à OpenAI, criadora do robô. A maioria dos usos é legítimo, como uma empresa que busca atender clientes pelo WhatsApp. Mas criminosos podem pagar pelo acesso a estes sistemas e configurá-los para que o interlocutor acredite estar falando com alguém de confiança.

Na prática, isso não é muito diferente dos inúmeros golpes cibernéticos por aplicativos de mensagens. Criminosos que fingem ser parentes ou amigos pedindo dinheiro emprestado, ou funcionários de empresas solicitando senhas para "atualizar o cadastro", são fraudes já conhecidas e divulgadas. A diferença é que, usando inteligências artificiais, pode-se alcançar muito mais vítimas e agir mais rapidamente.

Outro uso possível da IA para crimes é a criação de conteúdos falsos. Além da escrita de fake news, no estudo da Eset, é possível usar ferramentas de inteligência artificial para inserir o rosto de uma pessoa em um vídeo — com movimentações faciais, como virar a cabeça ou mexer os lábios durante a fala.

Ramirez pontua que isso pode ser usado para simular, por exemplo, comportamentos e expressões de figuras públicas. Um exemplo são os vídeos do jornalista Bruno Sarttori, que usa deepfakes Da junção entre "deep" ("profundo", em inglês) e "fake news" (notícias falsas), um deepfake é um vídeo adulterado digitalmente para mostrar algo que não aconteceu na realidade para alertar as pessoas sobre as possibilidades de criação de vídeos fraudulentos.

Nas publicações abaixo, ele mostra o mesmo vídeo, em uma versão feita com tecnologias disponíveis publicamente em 2021, e outra com ferramentas mais recentes. Embora a versão original já seja bastante convincente, a atual é quase indistinguível de um vídeo verdadeiro.

Aqui com mais detalhes. pic.twitter.com/mjFcyrkRnw — Um tal de Bruno Sartori (@brunnosarttori) July 31, 2023





Tendo acesso apenas a algumas fotos de uma pessoa, golpistas podem criar vídeos da vítima em situações que nunca aconteceram, como cenas pornográficas ou cometendo um crime. Em seguida, usam este conteúdo para fazer chantagem, mesmo que a situação das imagens nunca tenha acontecido no mundo real.

Em junho deste ano, o FBI chegou a emitir um alerta sobre a prática. Segundo a polícia federal estadunidense, o órgão tem recebido denúncias constantes de sextorsão Sextorsão (de "sexo" + "extorsão") é o nome dado à prática de exigir dinheiro ou favores de uma pessoa com a ameaça de divulgar conteúdos sexuais que a envolvam com vídeos criados por inteligência artificial, usando fotos extraídas das redes sociais das vítimas.

Caso as informações conseguidas pelos criminosos incluam áudio, é possível fazer vídeos retratando diversas situações. Com isso, práticas já conhecidas, como o falso sequestro e o chamado golpe do Pix No golpe do falso sequestro, um criminoso liga para a vítima informando ter raptado um parente e outro "interpreta" a pessoa supostamente capturada, simulando um tom de voz com choro e desespero; no golpe do pix, os criminosos clonam a linha celular de uma pessoa, usando o número para se autenticar no WhatsApp, e enviam mensagens aos contatos da vítima solicitando dinheiro sob pretextos diversos pretextos, o envio de dinheiro com promessa de que devolverão em alguns minutos , ganham camadas de realismo que tornam as fraudes mais convincentes.

Técnicas similares podem ser usadas para enganar sistemas de biometria. Muitos aplicativos exigem reconhecimento facial para acesso, ou ao transferir a conta para outro celular. Recentemente, esta etapa ficou mais elaborada, sendo necessário piscar os olhos ou mexer o rosto. Ainda assim, com fotos o suficiente e programas de criação de deepfakes, é possível burlar estas proteções.

Este é apenas um dos exemplos de outro tipo de uso ilegal da IA: se passar por usuários de aplicativos e serviços. Isso permitiria abrir contas, solicitar empréstimos, e mesmo cometer crimes virtuais se passando por outras pessoas.

Foto ilustrativa sobre segurança digital Crédito: Bemfica de Oliva/Dall-E

Os robôs também podem ser disfarçados como funcionários de empresas para encobrir ataques de hackers. Sistemas corporativos contam com tecnologias para detecção de fraudes e usos suspeitos — em um escritório, um computador que esteja transferindo muitos arquivos fora do horário de expediente, por exemplo, pode ser indicativo de uma invasão.

Um malware Um malware é qualquer programa de computador malicioso - embora habitualmente sejam chamados "vírus", há diversas categorias diferentes de programas criados para realizar crimes; neste contexto, um "malware dormente", após infectar o computador, fica inerte por longos períodos, até ser "ativado", por um comando remoto do criador ou em uma data pré-definida especializado poderia aprender os padrões dos funcionários e quais ações ativam os sistemas de segurança de uma empresa, enquanto fica "dormente". Ao ser ativado, o programa malicioso simularia, então, o comportamento de usuários reais, concretizando o ataque sem despertar suspeitas.

Ghassan Dreibi, diretor de Cibersegurança da Cisco, afirma que este tipo de ataque ainda não aconteceu. "Instâncias de IA não possuem, de nenhuma forma, uma consciência humana ou autônoma para criar ataques", diz ele.

Dreibi adiciona, entretanto, que robôs podem ser usados para induzir funcionários a colaborar com invasões sem saber. "A capacidade de simular comportamento, imitar voz, imagem, opiniões, pode oferecer ao agressor uma oportunidade única de coleta de informações corporativas ou mesmo permitir acesso direto à informação", diz ele.

Combatendo cibercrimes das IAs... Usando IAs

A segurança digital é, de certa forma, um "jogo de gato e rato". Conforme técnicas de proteção contra ataques virtuais aumentam em complexidade, criminosos criam golpes mais elaborados, que levam a novos avanços em sistemas de defesa, e assim por diante.

Por isso, não é totalmente inesperado que o combate a crimes cometidos com o auxílio de inteligências artificiais seja feito, também, com o auxílio de inteligências artificiais.

Foto ilustrativa sobre segurança digital Crédito: Bemfica de Oliva/Dall-E

É o que afirma Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina. "Ao mesmo tempo que o lado do cibercrime avança com isso, a segurança também não fica para trás tentando auxiliar em ferramentas que saibam lidar com esse tipo de ataque", diz ele.

"Assim como o golpe é aprimorado constantemente, as soluções também se adequam a isso e melhoram cada vez mais sua segurança", pontua Assolini. O especialista lembra que, mesmo antes de crimes digitais usarem IAs, os sistemas de defesa já aplicavam a tecnologia: a Kaspersky, por exemplo, usa inteligência artificial para detecção de spam Qualquer mensagem virtual não-solicitada pode ser considerada spam. Plataformas de e-mail têm sistemas de detecção de spam há anos, mas é possível realizar a prática por SMS, aplicativos de mensagem, redes sociais etc desde 2017.

Raul Colcher, do IEEE, concorda. "Os sistemas de defesa têm incorporado IA em praticamente todos os contextos importantes", destaca o engenheiro. "A cada passo, ambos os lados tornam-se cada vez mais sofisticados".

No entanto, a preocupação com segurança digital ainda não é tão comum quanto deveria. Mas o cenário, ao menos no mercado corporativo, está mudando. Segundo Rafael Suguihara, que chefia a divisão de Amazon Web Services (AWS) AWS é um sistema de computadores em nuvem, da criadora do site de comércio eletrônico; empresas usam a AWS para hospedar sites, aplicativos e serviços on-line, de forma similar a nuvens como o Google Drive - mas com funções mais avançadas da GFT Technologies, "cada vez mais as empresas têm olhado para a segurança como diferencial estratégico para seus negócios".

"Ainda assim, vemos diversos casos de vazamento de informações", continua. "Isso gera prejuízos, como a confiança na adoção dos usuários em novas tecnologias além de riscos financeiros e de imagem para as empresas".

Da mesma forma como na execução dos crimes cibernéticos, diversas técnicas são empregadas para proteção contra eles. Muitas delas, inclusive, são similares ao que é usado nas práticas ilegais, mas de maneira inversa. "Os ataques potencializados por IA devem ser combatidos de igual para igual", diz Suguihara.

No exemplo de IAs se passando por usuários legítimos, robôs podem ser usados para analisar como as pessoas reais usam os sistemas. Com isso, é possível "calibrar" os sistemas de detecção de fraude com maior precisão, permitindo encontrar ações que simulam um ser humano, mas na realidade são feitas por programas maliciosos.

E é necessário tanto avaliar incidentes de forma isolada quanto a possibilidade de estarem interligados, conceito chamado de Detecção e Resposta Ampliada (XDR, na sigla em inglês) XDR é uma prática de segurança digital usada em empresas, na qual invasões bem-sucedidas e tentativas frustradas de ataque, mesmo que não tenham ligações aparentes entre si, são considerados em conjunto; a intenção é descobrir padrões para entender se os criminosos estão tentando burlar alguma falha de segurança em especial ou buscam algum alvo em específico, e com isso aprimorar as estratégias de defesa . O uso de inteligência artificial em aplicações de XDR é especialmente eficaz, uma vez que os robôs conseguem identificar a conexão entre ocorrências aparentemente não relacionadas de forma muito mais rápida que humanos.

Deste modo, é possível detectar invasões de maneira quase instantânea. Ataques como ransomwares, por exemplo, que "sequestram" arquivos usando criptografia, podem ser notados nos primeiros segundos — como criptografar grandes quantidades de arquivos é demorado, ativar o golpe em sistemas corporativos de grande porte pode levar horas.

Uma IA que descubra o processo ainda no começo permite tomar ações imediatas, como cortar a conexão de computadores afetados e evitar que o problema se espalhe. Para os arquivos já criptografados, a IA pode determinar automaticamente a recuperação de backups Cópia de segurança de arquivos, para recuperação caso os aparelhos que guardam as informações quebrem ou sejam alvo de ataques como ransomware .

Grassan Dreibi, da Cisco, diz que a ideia é agir o quanto antes, acelerando "investigações intermináveis" sobre as causas de um ataque. "A tecnologia tradicional mede resultados em dias", afirma. Em comparação, ele destaca que a empresa tem um sistema com IA que "fornece resultados em minutos".

Outra técnica que funciona de forma "inversa" é a avaliação do código-fonte Um programa de computador nada mais é que uma sequência de milhares - ou milhões - de instruções para que, quando ocorrer uma ação do usuário, o programa realize uma outra ação específica; o conjunto dessas "instruções" é chamado de código-fonte de programas. Assim como IAs podem ser usadas para encontrar falhas de segurança e explorá-las para invasões, é possível descobrir estas brechas com o intuito de desenvolver correções e evitar ataques.

Dreibi explica que, com o uso de IAs, programas maliciosos podem ser modificados "em segundos", para explorar falhas recém-descobertas ou evitar a detecção por sistemas de segurança. As respostas contra essas ameaças, porém, não ficam atrás: "O crescimento e a sofisticação dos ataques acompanha o desenvolvimento tecnológico junto com as medidas de defesa", conclui.

Há desafios significativos para reduzir o risco de ataques. Um deles é aumentar a segurança dos programas sem dificultar excessivamente seu uso. Ações como a verificação em duas etapas podem ser inconvenientes, mas tomam apenas alguns segundos adicionais. Em comparação, um aplicativo altamente seguro, mas de uso complexo demais, não conseguirá atrair usuários.

Foto ilustrativa sobre comunicação entre inteligências artificiais Crédito: Bemfica de Oliva/Dall-E

Arnaldo Thomaz, diretor, da BioCatch, afirma que o segredo está em avaliar a "biometria comportamental", tecnologia que analisa a interação de um usuário com um aplicativo e compara com o que aquela pessoa habitualmente faz. Os sistemas desenvolvidos pela empresa usam esta tática para detectar fraudes.

Thomaz explica que são monitoradas ações quase imperceptíveis, como a velocidade de leitura de uma página, ou quantas vezes o usuário rola a tela em determinado menu. Padrões de digitação, movimentos do mouse, a posição em que o celular está sendo segurado, e mesmo o caminho que um usuário segue para chegar a determinada funcionalidade de um aplicativo também são rastreados.

Com isso, é possível traçar um perfil individualizado, e comparar estes dados com cada novo acesso. A ideia é aprimorar a eficácia da detecção de fraudes ao mesmo tempo em que as funcionalidades de segurança contribuem para uma "experiência sem atrito".

Este uso da IA na segurança digital não funciona apenas para evitar, por exemplo, que criminosos acessem seu aplicativo de banco. Ele pode ser aplicado de maneira mais ampla, como avaliar comportamentos no espaço virtual que podem indicar crimes no mundo físico.

Segundo Thomaz, estas práticas seguem padrões específicos. Um exemplo usado é a lavagem de dinheiro: os criminosos podem usar dados roubados para criar novas contas em bancos ou "alugar" cadastros de laranjas.

No primeiro caso, é possível detectar, por exemplo, se os dados pessoais usados para o registro estão sendo digitados ou colados de outro aplicativo, ou a velocidade com que o usuário navega pelos menus (um novo cliente legítimo lê as informações detalhadamente, enquanto um criminoso que abre várias contas seguidas passa rapidamente pelas páginas). Caso seja detectado um comportamento questionável, a conta pode ser marcada como suspeita desde o momento em que é criada.

No segundo caso, diz Thomaz, os parâmetros monitorados são comparados ao comportamento anterior do usuário. Caso haja acessos de locais muito distantes, ou o cliente demonstre de maneira súbita uma familiaridade com tecnologia que não existia antes, é gerado um alerta. Transações - de recebimento ou envio - em volume extremamente distinto do habitual também podem indicar um uso ilícito da conta.

Raul Colcher, do IEEE, lembra que os robôs podem ser usados também para buscar de forma proativa por perigos. "A IA pode monitorar atividades suspeitas ou maliciosas em redes sociais e plataformas online, identificando a disseminação de informações falsas, spam e outros tipos de ameaças".

A ligação entre cibercrimes, cibersegurança, dados e privacidade

Todas estas ações, porém, demandam grandes quantidades de informações - afinal de contas, é preciso treinar as IAs, e aprimorá-las continuamente. Isso gera outra preocupação: como garantir a segurança deste material, especialmente dados sensíveis de usuários?

Thomaz, da BioCatch, afirma que os dados monitorados pelos seus sistemas não são considerados sensíveis. Ghassan Dreibi, da Cisco, pontua que as soluções de IA da empresa usam informações, como e-mails corporativos e tráfego de rede, fornecidas pelo próprio cliente. No caso da GFT, Rafael Suguihara adiciona que muitos dos serviços buscam exatamente evitar vazamentos, portanto a companhia integra práticas como criptografia e controles de acesso.

Sobre esta questão, Fabiana Ramirez, da ESET, deixa um conselho aos usuários: "o progresso desta tecnologia é muito rápido e as precauções de hoje podem não ser suficientes para amanhã", diz ela. "É sempre bom ter soluções de segurança que acompanhem as diversas atualizações tecnológicas", conclui.