A Reuters publicou recentemente um experimento conjunto com Harvard, onde pediram aos populares chatbots da IA como Grok, Chatgpt, Deepseek e outros para criar o “e -mail de phishing perfeito”. Os e -mails gerados foram enviados para 108 voluntários, dos quais 11% clicaram nos links maliciosos.
Com um aviso simples, os pesquisadores estavam armados com mensagens altamente persuasivas capazes de enganar as pessoas reais. O experimento deve servir como uma verificação de realidade severa. Por mais perturbador que o phishing tenha sido ao longo dos anos, a IA está transformando -a em uma ameaça mais rápida, barata e mais eficaz.
Para 2026, a detecção de phishing da IA precisa se tornar uma prioridade para as empresas que desejam ser mais seguras em um ambiente de ameaças cada vez mais complexo.
O surgimento de Ai phishing como uma grande ameaça
Um dos principais fatores é a ascensão do phishing como serviço (PHAAS). Plataformas da Web Dark, como Lighthouse e Lucid, oferecem kits baseados em assinaturas que permitem aos criminosos com baixa qualificação lançar campanhas sofisticadas.
Relatórios recentes sugerem que esses serviços geraram mais de 17.500 domínios de phishing em 74 países, visando centenas de marcas globais. Em apenas 30 segundos, os criminosos podem girar portais de login clonados para serviços como Okta, Google ou Microsoft, que são praticamente iguais à coisa real. Com a infraestrutura de phishing agora disponível sob demanda, as barreiras à entrada de crimes cibernéticos são quase inexistentes.
Ao mesmo tempo, as ferramentas generativas da IA permitem que os criminosos criem e -mails de phishing convincentes e personalizados em segundos. Os e -mails não são spam genéricos. Ao eliminar dados do LinkedIn, sites ou violações anteriores, as ferramentas de IA criam mensagens que refletem o contexto real dos negócios, atraindo os funcionários mais cuidadosos a clicar.
A tecnologia também está alimentando um boom no Phishing de áudio e vídeo Deepfake. Na última década, os ataques relacionados à DeepFake aumentaram 1.000%. Os criminosos normalmente personificam CEOs, membros da família e colegas de confiança sobre canais de comunicação como Zoom, WhatsApp e equipes.
As defesas tradicionais não estão fazendo isso
A detecção baseada em assinatura usada pelos filtros de email tradicional é insuficiente contra o phishing movido a IA. Os atores de ameaças podem girar facilmente sua infraestrutura, incluindo domínios, linhas de assunto e outras variações únicas que passam pelas medidas de segurança estáticas.
Quando o Phish chegar à caixa de entrada, agora cabe ao funcionário decidir se deve confiar nele. Infelizmente, dado o quão convincentes são os e-mails de phishing de hoje, é provável que mesmo um funcionário bem treinado acabará por cometer um erro. A verificação do ponto para a gramática ruim é uma coisa do passado.
Além disso, a sofisticação de campanhas de phishing pode não ser a principal ameaça. A pura escala dos ataques é o que é mais preocupante. Os criminosos agora podem lançar milhares de novos domínios e sites clonados em questão de horas. Mesmo que uma onda seja retirada, outra substitui -a rapidamente, garantindo um fluxo constante de novas ameaças.
É uma tempestade de IA perfeita que requer uma abordagem mais estratégica para lidar. O que funcionou contra as tentativas de phishing de ontem não é páreo para a enorme escala e sofisticação de campanhas modernas.
Principais estratégias para a detecção de phishing de IA
Como especialistas em segurança cibernética e órgãos de governo costumam aconselhar, uma abordagem de várias camadas é melhor para tudo o que a cibersegurança, incluindo a detecção de ataques de phishing de IA.
A primeira linha de defesa é uma melhor análise de ameaças. Em vez de filtros estáticos que dependem de inteligência de ameaças potencialmente desatualizadas, os modelos de PNL treinados em padrões de comunicação legítimos podem capturar desvios sutis em tom, fraseado ou estrutura que um humano treinado pode perder.
Mas nenhuma quantidade de automação pode substituir o valor da conscientização sobre segurança dos funcionários. É muito provável que alguns e-mails de phishing de IA acabei encontrando seu caminho para a caixa de entrada, portanto, é necessário ter uma força de trabalho bem treinada para a detecção.
Existem muitos métodos para o treinamento em conscientização sobre segurança. O treinamento baseado em simulação é o mais eficaz, porque mantém os funcionários preparados para a aparência da IA Phishing. As simulações modernas vão além do treinamento simples de “Spot the Typo”. Eles refletem campanhas reais ligadas à função do usuário, para que os funcionários estejam preparados para o tipo exato de ataques que provavelmente enfrentarão.
O objetivo não é testar os funcionários, mas construir memória muscular, de modo que relatar atividades suspeitas vem naturalmente.
A camada final de defesa é a UEBA (análise de comportamento do usuário e entidade), o que garante que uma tentativa de phishing bem-sucedida não resulte em um compromisso em grande escala. Os sistemas UEBA detectam atividades incomuns do usuário ou sistema para alertar os defensores sobre uma possível intrusão. Geralmente, isso é na forma de um alerta, talvez sobre um login de um local inesperado ou alterações incomuns na caixa de correio que não estão de acordo com a política de TI.
Conclusão
A IA está avançando e escalando o phishing para níveis que podem sobrecarregar ou ignorar facilmente as defesas tradicionais. Em 2026, as organizações devem priorizar a detecção orientada à IA, monitoramento contínuo e treinamento realista de simulação.
O sucesso dependerá da combinação de tecnologia avançada com a prontidão humana. Aqueles que podem encontrar esse equilíbrio estão bem posicionados para serem mais resistentes à medida que os ataques de phishing continuam a evoluir com a IA.
Fonte da imagem: Unsplash
Fontesartificialintelligence
