HAQ Logo
Voltar para todas as notícias

Engenharia Social

A Ameaça Crescente do Spear-Phishing por Voz (Vishing) com IA

20 de Outubro, 2025
Vishing
Deepfake
Engenharia Social

O spear-phishing, onde um atacante mira em um indivíduo específico com uma mensagem personalizada, sempre foi uma das táticas de engenharia social mais eficazes. Agora, a convergência de LLMs e modelos de clonagem de voz (Text-to-Speech) está elevando essa ameaça a um novo patamar de perigo com o aumento do 'vishing' (phishing por voz) potencializado por IA. A capacidade de clonar a voz de uma pessoa a partir de apenas alguns segundos de áudio está tornando os ataques de fraude de CEO e outras fraudes por telefone assustadoramente convincentes.

Neste cenário de ataque, um ator malicioso pode coletar uma amostra de áudio da voz de um executivo de uma fonte pública, como uma entrevista no YouTube ou uma apresentação em uma conferência. Ele então usa um serviço de clonagem de voz por IA para treinar um modelo capaz de gerar qualquer frase com a voz daquele executivo. O atacante então liga para um funcionário do departamento financeiro, usando a voz clonada do CEO ou do CFO para solicitar uma transferência bancária 'urgente e confidencial' para uma conta controlada pelo fraudador.

A autoridade e a familiaridade da voz do executivo podem fazer com que o funcionário contorne os procedimentos de segurança padrão. A capacidade do atacante de usar um LLM para gerar um diálogo interativo e em tempo real com a voz clonada torna o ataque ainda mais difícil de detectar. O funcionário acredita que está tendo uma conversa real com seu chefe, não com um script pré-gravado.

A defesa contra o vishing com IA depende menos de tecnologia e mais de processos e conscientização humana. A defesa mais eficaz é a implementação de uma política de 'verificação fora de banda' para todas as solicitações financeiras ou sensíveis. Se um funcionário recebe uma ligação 'urgente' do CEO pedindo uma transferência, ele deve ser treinado para desligar e ligar de volta para o número de telefone conhecido do CEO para confirmar a solicitação. A conscientização de que a voz não é mais uma prova de identidade é uma lição de segurança crucial na era dos deepfakes.