
O relatório da IBM sobre o custo de uma violação de dados em 2025 constatou que 16% das violações analisadas envolveram invasores que usaram ferramentas de IA, na maioria das vezes para ataques de phishing ou de personificação por deepfake. Para as equipes de segurança, isso tem implicações diretas para a central de atendimento.
O serviço de suporte técnico é um alvo natural para engenharia social, pois um atacante que convence um atendente de que é um usuário legítimo pode não precisar burlar os controles técnicos. Ele pode simplesmente pedir ajuda para contorná-los. A IA facilita isso, ajudando os atacantes a parecerem mais convincentes ao personalizar sua abordagem.
O processo de integração de novos membros fica particularmente vulnerável em um cenário de ameaças onde a IA possibilita ataques de engenharia social mais convincentes.
Os novos funcionários precisam de acesso rápido, mas a organização pode ainda não estar bem familiarizada com eles. Os invasores podem explorar essa lacuna, portanto, os agentes do suporte técnico precisam de maneiras melhores de comprovar a identidade antes de fornecer credenciais, redefinir a autenticação multifator (MFA) ou aprovar alterações confidenciais.
Três maneiras pelas quais a IA auxilia ataques à central de atendimento
1. A IA torna a imitação mais convincente
Os ataques de grande repercussão contra a M&S , a MGM Resorts , a Clorox e outras empresas começaram com uma simples pergunta ao serviço de atendimento ao cliente: "Vocês podem me ajudar a obter acesso?". A partir daí, os criminosos obtiveram acesso às contas, intensificaram seus ataques e causaram prejuízos milionários às organizações vítimas.
A falsificação de identidade sempre foi um risco nos serviços de suporte, e a IA torna ainda mais difícil para os agentes avaliarem se uma solicitação é genuína.
Os atacantes agora podem usar IA generativa para criar e-mails sofisticados, mensagens de bate-papo convincentes e roteiros de chamadas realistas em segundos. Em ataques mais direcionados, eles também podem usar voz ou vídeo gerados por IA para se passar por um funcionário.
O processo de integração de novos funcionários é especialmente vulnerável. Nem sempre os novos funcionários são conhecidos pelas equipes de TI, e problemas de acesso no primeiro dia são esperados. Um invasor se passando por um novo funcionário pode usar IA para parecer crível, mencionar o departamento correto e criar a urgência necessária para aprovar uma solicitação.
2. A IA acelera o reconhecimento e a personalização.
Há mais informações pessoais disponíveis na internet do que nunca, e a IA ajuda os agentes maliciosos a encontrá-las.
Ao se defender contra ataques de integração, essa é uma preocupação real. As organizações frequentemente compartilham mais informações do que imaginam. Uma publicação de boas-vindas pode mencionar o nome de um novo funcionário, ou um anúncio de emprego pode citar os sistemas que a empresa utiliza. Um perfil no LinkedIn pode revelar o gerente de contratação, a estrutura da equipe e a localização do escritório.
Os agentes maliciosos podem extrair essas informações e, em seguida, usar IA para coletar mais dados do LinkedIn, sites de empresas, anúncios de vagas, comunicados de imprensa e mídias sociais. Eles podem então transformar esses detalhes em uma história convincente. Nomes, cargos, locais, departamentos, ferramentas internas e hierarquia podem ser inseridos em um roteiro que soe crível.
Esse nível de detalhe pode fazer com que uma solicitação maliciosa pareça rotineira. E quando uma solicitação parece rotineira, é mais provável que seja processada rapidamente.
3. A IA ajuda os atacantes a ampliar os ataques à central de atendimento.
Um atacante não precisa mais criar uma campanha de engenharia social do zero. Ele pode usar IA para criar dezenas de variações de e-mails de phishing, testar diferentes pretextos e adaptar a linguagem para adequar seus esforços.
Isso cria um problema para as centrais de atendimento, pois elas são projetadas para responder rapidamente. Os atacantes sabem disso e, por isso, usam a urgência e a persistência para fazer com que uma solicitação maliciosa pareça apenas mais uma tarefa rotineira em uma fila de espera.
A IA facilita aos atacantes ajustar sua abordagem, permitindo que tentem a mesma solicitação básica em vários canais ou agentes até que alguém aprove a redefinição, libere as credenciais ou altere o método de recuperação.
Como prevenir ataques de suporte técnico com inteligência artificial
Os ataques com auxílio de IA são projetados para parecerem normais, portanto, a prevenção não pode depender de agentes de suporte técnico que façam julgamentos perfeitos sob pressão.
É aqui que soluções especializadas podem ajudar a proteger um processo de risco particularmente elevado com o qual a central de serviços lida: a integração de novos clientes.
O Specops Secure Onboarding ajuda a proteger o processo de integração de ponta a ponta e além, garantindo que os agentes tenham as ferramentas necessárias para verificar a identidade com confiança e proteger as novas credenciais contra interceptação.
1. Entrega segura de senhas durante o processo de integração.
Um novo funcionário precisa de credenciais rapidamente, mas enviar uma senha por SMS ou e-mail representa um risco caso ela seja interceptada.
Uma abordagem mais segura é não enviar credenciais. O Specops Secure Onboarding permite que a equipe de TI envie links de inscrição seguros para os novos funcionários, com instruções explicando como criar suas próprias senhas fortes. Como nenhuma credencial é criada ou compartilhada pela central de atendimento, isso elimina o risco de interceptação.
2. Use a detecção biométrica de vivacidade para evitar falsificação de identidade.
Os métodos tradicionais de verificação de identidade estão se tornando menos confiáveis; por exemplo, as respostas às perguntas de segurança podem muitas vezes ser adivinhadas a partir de informações que um invasor pode obter em perfis de redes sociais.
Principalmente em casos onde a equipe de suporte pode não estar familiarizada com o funcionário, como um novo contratado em seu primeiro dia, os agentes precisam ter certeza de que a pessoa que solicita o acesso não é um invasor se passando por um funcionário legítimo.
A detecção biométrica de vivacidade, oferecida por meio de soluções como o Specops Secure Onboarding, pode ajudar ao confirmar a presença de uma pessoa real durante a verificação, em vez de uma imagem estática, gravação, máscara ou deepfake. Isso é especialmente útil para o onboarding remoto, em que a equipe de suporte pode nunca encontrar o funcionário pessoalmente.
3. Verifique a identidade antes de realizar ações sensíveis na central de atendimento.
Ações sensíveis exigem uma verificação de identidade mais rigorosa antes de serem aprovadas. Por exemplo, uma solicitação para redefinir a senha de uma conta privilegiada deve acionar verificações como a detecção biométrica de vivacidade para garantir que a solicitação seja genuína e que a pessoa que a faz esteja vinculada à conta correta.
O Specops Secure Onboarding garante que a verificação ocorra antes que os agentes concluam ações como a redefinição de senhas. Os agentes podem reforçar a verificação por meio de fortes checagens de identidade e tomar decisões de confiança com maior segurança.

Proteja sua central de atendimento contra ataques com inteligência artificial usando o Specops.
O Specops Secure Onboarding ajuda as organizações a proteger a central de serviços durante ações de alto risco, colocando a verificação de identidade no centro de processos como o onboarding, proporcionando:
- Proteção reforçada contra ataques baseados em identidade: Substitua a confiança presumida pela identidade verificada durante todo o processo de integração, ajudando as equipes de suporte técnico a se defenderem contra a falsificação de identidade por inteligência artificial.
- Uma experiência de integração consistente: Ofereça a todos os novos colaboradores o mesmo processo seguro, independentemente de onde estejam, sem gerar atritos desnecessários para as equipes de RH ou para os funcionários.
- Menos riscos na central de atendimento: verifique a identidade antes de tomar medidas sensíveis, para que os agentes não precisem julgar se uma solicitação é genuína com base apenas na confiança.
Comentários