Entendendo os Perigos do Phishing com IA Generativa

02/12/2025

ÍNDICE DE CONTEÚDO

A inteligência artificial (IA) está deixando sua marca de muitas maneiras. Embora a euforia tenha sido enorme, grandes modelos de linguagem (LLMs), como o ChatGPT, começaram a dar uma pequena amostra do potencial da IA Generativa (GenAI). Esse potencial é imenso; por exemplo, a Universidade da Califórnia em San Diego (UC San Diego) prevê que a IA nos permitirá monitorar condições crônicas de saúde, viabilizar o uso de veículos autônomos para entregas e transporte, aprimorar a previsão de ‘rios atmosféricos’ e automatizar ações de emergência que salvam vidas, entre outras aplicações.^[1]

Mas com o bem, inevitavelmente vem o mal. Atores maliciosos também estão se aproveitando do poder da IA. Um exemplo inicial é o phishing por IA generativa. O phishing não é novidade: e-mails de “príncipes nigerianos” que buscam depositar milhões em sua conta bancária em troca de uma generosa comissão são comuns desde os primórdios do e-mail. Para muitos, esses e-mails de phishing eram fáceis de identificar, pois vinham repletos de erros de ortografia e gramática, além de prometerem oportunidades boas demais para serem verdade. O phishing por IA muda esse cenário ao turbinar o processo com um conteúdo inteligente e sofisticado que pode enganar até mesmo o consumidor mais experiente em tecnologia.

De acordo com a avaliação de meio de ano de 2024 da empresa de cibersegurança SlashNext, os golpistas de phishing embolsaram mais de US$ 2 bilhões apenas em 2022. Desde o quarto trimestre de 2022 — quando o ChatGPT foi lançado — houve um aumento de 4.151% em e-mails de phishing maliciosos.^[2]

Neste artigo, examinamos como os hackers estão usando a IA Generativa para criar golpes de phishing mais convincentes. Para se proteger contra esses ataques, os especialistas em cibersegurança devem estar cientes de como os criminosos cibernéticos exploram a tecnologia e, em seguida, usar a IA como um mecanismo de defesa.

O Que É Phishing?

De forma geral, o phishing teria surgido nos anos 90. As primeiras técnicas envolviam hackers se passando por funcionários da America Online (AOL) para enganar os usuários e fazê-los revelar credenciais de login e outras informações pessoais.^[3]

Hoje, munidos de listas de e-mails roubadas da dark web, os hackers enviam milhares de mensagens — somando 3,4 bilhões de e-mails de spam por dia em 2025, de acordo com a provedora de TI AAG.^[4] A maioria é apagada, mas ocasionalmente alguém acaba caindo em um golpe, talvez por ansiedade ou curiosidade, e clicando em URLs maliciosas, baixando arquivos cheios de vírus ou compartilhando dados e informações de autenticação que os cibercriminosos usam para acessar contas bancárias.

Embora o phishing seja uma preocupação há décadas, certas práticas simples ajudaram a evitar os golpes tradicionais. Erros de ortografia e gramática, problemas de formatação, nomes errados, logotipos de empresas malfeitos e endereços de e-mail estranhos sempre denunciavam os golpistas. Infelizmente, com a IA Generativa tudo isso está mudando e os métodos para identificar os golpistas estão perdendo a eficácia.

Phishing com IA Generativa

Utilizando o modelo de deep learning da IA Generativa, os criminosos cibernéticos podem gerar rapidamente textos, imagens e conteúdos de alta qualidade com base no comportamento do usuário em tempo real. A IA Generativa não altera o mecanismo básico de um ataque de phishing; ele é, em essência, um jogo de números. A diferença é que, em vez de enviar milhões de e-mails direcionados aleatoriamente, a IA torna o processo muito mais rápido e simplificado para que os criminosos enviem campanhas de phishing complexas e direcionadas que dificultam a detecção.

A IA resolveu muitos dos problemas que afetavam os primeiros esforços de spam. Por exemplo, a gramática e a ortografia estão perfeitas, os logotipos das empresas são reproduzidos com exatidão e os estilos de escrita são persuasivos e concisos.

Os ataques também podem ser cronometrados com precisão para capturar a atenção do consumidor-alvo. Por exemplo, os LLMs podem capturar informações em tempo real de produtores de conteúdo, varejistas e sites de notícias para incorporar detalhes atualizados nos e-mails de phishing. Esses detalhes tornam as mensagens críveis e levam os alvos a agir conforme as instruções.

A IA também permite que os hackers tentem novos truques. Esqueça os e-mails, que tal usar a IA Generativa para clonar a voz de um contato de confiança e criar áudios falsos? O que você faria se recebesse uma mensagem de voz de um CFO falso que soa exatamente como seu chefe, solicitando uma transferência de dinheiro?

Não é como se fosse difícil para esses criminosos cibernéticos obter as ferramentas necessárias para começar. Ferramentas de hacker gratuitas, como o nefasto WormGPT — uma versão gratuita do OpenAI, que é a base do LLM ChatGPT — ou softwares pagos, como o FraudGPT, estão facilmente disponíveis na dark web. Ambas são ferramentas de IA Generativa sem salvaguardas e são projetadas para gerar solicitações para criar e-mails de phishing, código para simular sites específicos ou simulação de voz.

IA para Combater os Perigos do Phishing com IA Generativa

Como se defender, então? Uma forma é usar a segurança de e-mail corporativa que se baseia no protocolo de segurança DMARC (Domain-based Message Authentication, Reporting, and Conformance). Ele verifica a identidade dos remetentes de e-mail usando os protocolos DNS (Domain Name Server), SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). O DMARC é útil para prevenir golpes que usam o domínio de e-mail da própria empresa de forma falsa — uma técnica de phishing frequentemente usada para enganar funcionários a revelar dados sensíveis da companhia —, mas é uma abordagem que exige listas de remetentes maliciosos conhecidos.

Uma abordagem mais eficaz é usar a IA para detectar golpes de IA. As ferramentas de IA se mostraram eficazes em identificar tentativas de phishing impulsionadas por IA. Em vez de analisar ataques anteriores e perseguir os hackers, as ferramentas modernas se treinam com base em dados corporativos em tempo real, como a forma como os funcionários interagem com sua caixa de entrada. A IA de defesa monitora aspectos como tom, sentimento e conteúdo, bem como quando e como os funcionários seguem ou compartilham links. Isso permite que as ferramentas de IA mantenham o contexto e uma compreensão profunda do que é uma comunicação “normal”, para reconhecer atividades suspeitas que possam indicar um ataque.

Conclusão

Agentes maliciosos já estão se aproveitando do poder da IA Generativa. Um exemplo inicial é o uso de phishing turbinado com um conteúdo inteligente e avançado que pode enganar até mesmo o consumidor mais experiente em tecnologia. A gramática e a ortografia estão corretas, o estilo corporativo é impecável e o texto é persuasivo. Os ataques também podem ser cronometrados com precisão para capturar a atenção do consumidor-alvo. Os LLMs podem capturar informações em tempo real para incorporar detalhes atualizados nos e-mails de phishing.

Para se proteger contra esses ataques de phishing direcionados, os profissionais de cibersegurança devem entender como os criminosos cibernéticos exploram a tecnologia e, em seguida, usar a IA para fins defensivos. Felizmente, as ferramentas de IA de defesa modernas desenvolvem um contexto e uma inteligência aprofundada sobre como é a atividade regular, a fim de detectar mudanças que são sinais mais sutis de uma tentativa de phishing.