Els enviaments fraudulents per robar informació del destinatari reben el nom de phishing. Per tal d’aconseguir-ho, els ciberdelinqüents suplanten la identitat d’un remitent fàcilment recognoscible i demanen a l’usuari dades privades, com contrasenyes o dades d’accés a comptes bancaris. La major part d’aquests correus electrònics poden identificar-se fixant-se en certs detalls, però la intel·ligència artificial (IA) està aconseguint que cada vegada sigui més complicat adonar-se de les estafes.
Quins són els riscos del phishing amb intel·ligència artificial
La redacció mal cuidada, la sensació d’urgència o els arxius adjunts que fan saltar l’antivirus són les característiques més habituals d’una comunicació fraudulenta. Però els usuaris evolucionen i aprenen a detectar el phishing, de manera que aquestes estafes també es tornen més sofisticades i es perfeccionen per evitar ser detectades per errors que avui en dia són tan evidents.
Els ciberdelinqüents utilitzen la IA per aconseguir que els seus missatges siguin més creïbles i així més persones caiguin a la seva trampa. El seu objectiu és guanyar diners i ho aconsegueixen recorrent tan a eines d’intel·ligència artificial a l’abast de qualsevol com a d’altres d’específiques i només disponibles a la dark web. No tots els GPT tenen en compte la privacitat o fins i tot els conflictes ètics a l’hora de donar respostes i generar continguts, de manera que és possible utilitzar-los per crear correus electrònics fraudulents de manera ràpida i fàcil.
El phishing creat per IA té la característica de ser més personalitzat. Mentre que el tradicional inclou informació genèrica i s’espera que coincideixi amb la del destinatari, la intel·ligència artificial permet extreure moltes més dades, per exemple de xarxes socials o de l’historial de compres, i aplicar-les al contingut del missatge. A més li resulta molt senzill replicar la imatge corporativa tant en la comunicació com en la landing a la que s’envia a l’usuari. Això fa que sigui més fàcil confiar en el remitent i fer el que demani, com emplenar un formulari amb dades personals per tal que no es bloquegi un compte, un enviament o una targeta bancària.
Amb la IA es poden crear continguts falsos, com imatges o vídeos deepfake, també per simular ser persones reals i imitar la manera de parlar d’algú conegut. No només les empreses corren el perill que la seva identitat sigui suplantada, també els contactes dels destinataris. I no els suposarà molt d’esforç, al contrari, ja que els ciberdelinqüents poden automatitzar la generació de missatges de phishing fent que el seu volum sigui molt superior al de fa uns anys.
Cada vegada és més difícil detectar els correus electrònics fraudulents, ja que els sistemes tradicionals encara no estan del tot preparats per identificar els missatges creats per IA perquè semblen legítims. Això pot portar a fer que les marques vegin com els seus propis clients perden la confiança en ells i la seva reputació disminueixi, tot i que la culpa no sigui seva directament. Per això, doncs, és necessari establir mesures que protegeixin d’aquests atacs tant als usuaris com a les empreses.
Com protegir-se del phishing per IA
Els usuaris han d’establir mesures de protecció contra qualsevol tipus de ciberatac, incloent-hi el phishing creat per intel·ligència artificial. Entre les bones pràctiques recomanades, destaquem:
- Parar especial atenció en les direccions de correu electrònic del remitent, fins i tot verificar-ne la seva identitat per un altre canal si es tenen dubtes.
- Evitar les interaccions amb remitents desconeguts, com fer clic o descarregar arxius quan no s’han sol·licitat.
- Tenir sempre actualitzats l’antivirus i el Firewall; a més, acostumen a estar al dia de les últimes tècniques, de manera que també es poden seguir les seves notícies.
- Utilitzar la verificació en dos passos, gestors de contrasenyes i codis de seguretat per dificultar l’accés a informació sensible.
- Fer cas de les campanyes informatives de les marques de confiança en les quals s’indica, per exemple, que mai es sol·licitaran contrasenyes o es contactarà per correu electrònic per demanar que es verifiqui la identitat.
Per la seva part, les empreses també tenen alguns recursos per protegir-se d’atacs de phishing per IA. El principal és l’autenticació del domini amb DMARC per tal que no hi hagi cap dubte sobre qui és el remitent. Recorda que Google i Yahoo! ja van establir l’obligatorietat d’utilitzar protocols SPF, DKIM i DMARC, de manera que és més difícil que el frau vingui d’aquestes direccions.
També és necessari protegir els servidors de correu amb firewalls i filtres antiphishing, a banda de tenir els sistemes actualitzats per tal que no hi hagi problemes de seguretat. Per als enviaments massius, convé utilitzar una plataforma professional certificada en l’Esquema Nacional de Seguretat (ENS) i no només les administracions públiques i els seus proveïdors perquè hi estiguin obligats, també aquells que busquen respostes eficaces davant de possibles ciberatacs.
Però cap tecnologia és suficient si les persones no saben reconèixer un intent d'engany. Per això, la millor defensa comença per la informació: invertir en conscienciar als equips sobre les tàctiques de phishing redueix significativament el risc que caiguin en la trampa. Comptar amb programes de formació en conscienciació sobre ciberseguretat permet transformar riscos en resiliència.
