Na semana passada, em Washington, DC, me reuni com um grupo de CISOs e líderes de segurança para um evento centrado em uma pergunta simples: o que os atacantes realmente podem fazer com IA neste momento? Para ajudar a responder a essa pergunta, trouxe meu colaborador de longa data e também entusiasta de segurança, Freakyclown (FC), um hacker ético que foi contratado por bancos, governos e organizações ao redor do mundo para invadir antes dos criminosos. Fazemos versões do nosso roadshow de IA vs. IA juntos há anos, e as demonstrações de ataque ainda me impressionam toda vez.

Ataques baseados em e-mail passaram por três eras distintas. Vinte anos atrás: borrife e reze — robusto, sem sofisticação, lance uma rede ampla e esperança. Há uma década: spear phishing — altamente personalizado, mas lento e caro porque a pesquisa precisava ser feita manualmente. Hoje: ataques gerados por IA que são altamente personalizados e fáceis em escala. A demo do FC é a ilustração mais clara que encontrei de como isso realmente é.

Vimos, em tempo real, como a IA permite que um atacante complete o que antes levava 40 horas de análise em apenas minutos. A FC completou toda a pesquisa sobre o alvo, construiu a infraestrutura, criou uma mensagem personalizada que referenciava coisas que só um contato real saberia e enviou um e-mail que passaria em quase qualquer verificação de segurança tradicional, tudo em um laptop conectado ao Wi-Fi do hotel.

Não parou por aí. Demonstramos um vídeo deepfake em tempo real com um voluntário da plateia. Uma coisa é ouvir sobre um vídeo deepfake—outra é ver um criado ao vivo, e de você.

Antes de entrar na Abnormal, passei anos gerenciando operações de segurança em empresas da Fortune 500 — montando equipes SOC, implantando SEGs, escrevendo regras de detecção, ajustando políticas. Já estive do outro lado desse problema. Meu último SEG levou 18 meses para ficar de pé direito. Eu acreditava nele porque era a melhor ferramenta disponível. Mas a ameaça para a qual foi construída e a ameaça que enfrentamos hoje são duas coisas diferentes.

Construímos nossas defesas em torno da detecção de algo malicioso, como links suspeitos, anexos ruins e assinaturas de ameaça conhecidas. Mas os ataques mais perigosos hoje não têm nenhuma dessas coisas. São mensagens bem elaboradas, de remetentes críveis, pedindo algo que pareça um pedido comercial normal. Nada para escanear. Nada a ser sinalizado. Tecnicamente limpo.

Os sistemas de segurança falham. Até mesmo o instinto de “apenas ligar e verificar” enfrenta problemas quando áudio e vídeo podem ser falsificados em tempo real, como vimos. As ferramentas das quais confiamos nos últimos 20 anos foram construídas para uma ameaça diferente, e essa ameaça evoluiu.

Lutar contra ataques movidos por IA com regras estáticas é como tentar pegar alguém que fica mudando de rosto. A melhor jogada é construir um quadro detalhado de como é o normal para cada pessoa na sua organização, e depois sinalizar tudo que não se encaixa. IA comportamental não precisa de informações prévias sobre ameaças. Só precisa saber o que está fora do personagem.

Pense em como agentes do Serviço Secreto dos EUA são treinados para detectar dinheiro falso. Eles não começam decorando falsificações conhecidas. Eles se tornam intimamente familiarizados com moeda genuína, contando grandes quantias de dinheiro real repetidamente até conseguirem identificar imediatamente e até sentir uma nota fraudulenta antes mesmo de procurar recursos de segurança específicos. Anormal usa IA de forma semelhante. Fazemos uma referência do seu ambiente tão detalhadamente que sabemos como é um negócio normal. Não se trata de reconhecer a falsificação. É sobre conhecer a coisa real tão bem que nada mais passa.

Como ex-cliente e adotante precoce do Abnormal, posso dizer essas coisas o dia todo, mas agora sou pago para dizer, então pode parecer desonesto. Por isso, fiquei grato por ter Josh Dwyer, Gerente de Operações de Resposta a Incidentes de Cibersegurança da Markel, compartilhando sua experiência.

A jornada de Josh até Abnormal começou quando uma campanha socialmente projetada expôs um ponto cego crítico: o corpo da mensagem estava incorporado como uma imagem em vez de texto, então seu SEG não conseguia decifrar as palavras. Ele passou direto por uma pilha tecnológica multimilionária e chegou direto às caixas de entrada dos funcionários. Mas o problema maior não eram os momentos dramáticos — era a rotina diária. Sua equipe passava de 20 a 40 horas por semana revisando e triando os relatórios de phishing. Ingressos chegando o tempo todo. E-mails com aparência legítima que precisavam de olhos humanos para serem avaliados. Tempo que poderia ser gasto em qualquer outra coisa.

“Não precisamos mais lidar com e-mails de phishing como antes. Acho que agora podemos passar 4 ou 5 horas por semana — e quase o tempo todo, é seguro, porque Anormal é captar o que está passando.”
— Josh Dwyer, Gerente de Operações de Resposta a Incidentes de Cibersegurança, Markel

Quando perguntei ao Josh sobre a afirmação de integração de 30 segundos — algo que inicialmente achei difícil de acreditar — ele riu e disse que a parte mais longa de todo o processo foi conseguir isso através da gestão de mudanças. A integração técnica foi, de fato, rápida.

Os ataques estão mais rápidos, mais sofisticados e mais escaláveis do que nunca. As defesas que construímos para a última geração de ameaças estão mostrando seus limites. Se você esteve na sala em DC, espero que tenha sido tão revelador para você quanto foi para mim da primeira vez que vi. E se você não estivesse—estamos fazendo mais desses. Adoraria te ver na próxima. Confira a programação aqui.

Veja como o Abnormal lida com ataques reais como esses no seu ambiente. Solicite uma demonstração personalizada.

Por que isso importa para líderes de segurança

Para CISOs e líderes de tecnologia, a principal mensagem é clara: a ameaça mudou de natureza.

Não se trata mais apenas de bloquear malware ou filtrar links suspeitos. O desafio agora envolve identificar intenção, contexto e comportamento. Ataques modernos exploram confiança, urgência, hierarquia, relacionamento comercial e falhas nos processos internos.

Por isso, a estratégia de proteção de e-mail precisa ser revista. Empresas que dependem exclusivamente de gateways tradicionais, regras estáticas e análise manual podem estar expostas a um tipo de ameaça que não se comporta como os ataques do passado.

A pergunta deixa de ser apenas “este e-mail contém algo malicioso?” e passa a ser “este comportamento faz sentido para esse usuário, esse remetente e esse contexto de negócio?”.

O risco para empresas que ainda operam com controles tradicionais

Empresas que ainda tratam segurança de e-mail apenas como filtro antispam ou camada de bloqueio técnico podem enfrentar riscos importantes. Entre eles:

• fraudes financeiras por engenharia social;
• comprometimento de contas corporativas;
• solicitações falsas envolvendo fornecedores;
• impersonação de executivos;
• vazamento de informações sensíveis;
• aumento de trabalho manual no SOC;
• baixa visibilidade sobre ataques sem payload malicioso.

Esses riscos se tornam mais relevantes à medida que atacantes passam a usar IA para escalar personalização, simular linguagem natural e construir abordagens cada vez mais convincentes.

Atuação estratégica da WebSIA

A WebSIA apoia empresas na evolução da segurança de e-mail para um modelo mais moderno, baseado em comportamento, contexto e automação.

Com soluções como a Abnormal, é possível ampliar a proteção contra ataques avançados de engenharia social, phishing gerado por IA, comprometimento de contas e fraudes corporativas que muitas vezes passam por ferramentas tradicionais.

A atuação da WebSIA pode envolver a avaliação do ambiente atual, identificação de lacunas na proteção de e-mail, análise do volume operacional do SOC, desenho de processos de resposta e implementação de uma camada de segurança mais aderente ao cenário atual de ameaças.

O objetivo não é substituir boas práticas de segurança, mas fortalecer a capacidade da empresa de identificar ataques que não possuem sinais técnicos óbvios e que exploram o comportamento humano como principal vetor.

Saiba mais em: https://www.websia.com.br/ciberseguranca/email-security-ia-enterprises

Conclusão

A inteligência artificial está mudando o jogo dos dois lados. Para os atacantes, ela reduz o custo de personalização, acelera campanhas e torna mensagens fraudulentas mais convincentes. Para as empresas, ela exige uma nova abordagem de defesa, mais orientada a comportamento, contexto e resposta automatizada.

O e-mail continua sendo um dos principais canais de risco corporativo. Mas os ataques de hoje não se parecem mais com os ataques de vinte anos atrás.

Se a ameaça evoluiu, a defesa também precisa evoluir.

A próxima etapa da segurança de e-mail não será baseada apenas em identificar links, anexos ou assinaturas conhecidas. Ela será baseada em compreender o que é normal, detectar desvios e proteger pessoas, processos e decisões de negócio contra ataques cada vez mais personalizados.