Fraude e violação on-line 2025: a IA está no comando

A IA não está apenas acelerando fraudes e violações on-line; ela as potencializa. Uma nova geração de bots de IA de LLM (modelo de linguagem grande) está complicando o cenário de ameaças a aplicações e APIs ao (potencialmente) automatizar ataques em grande escala.

Apenas no último ano, o tráfego de bots alimentados por IA aumentou 300%, dificultando a diferenciação entre atividades benignas e mal-intencionadas. Ao mesmo tempo, o aumento da FaaS (fraude como serviço) nos mercados clandestinos reduziu drasticamente as barreiras de entrada dos cibercriminosos.

Como consequência, isso facilita para que até mesmo agentes novatos realizem atividades fraudulentas, desde engenharia social e phishing a fraude de identidade.

Exploramos esse problema crítico em um novo relatório State of the Internet (SOTI) Fraud and Abuse Report 2025: Charting a Course Through AI’s Murky Waters.

Com base nas pesquisas mais recentes da Akamai, esse relatório fornece uma análise detalhada do cenário em expansão de fraudes e violações e seu impacto nos principais setores e regiões. Ele também traz dicas sobre como as organizações podem usar a IA para fortalecer suas defesas e, ao mesmo tempo, manter a conformidade regulatória.

O tráfego de bots de IA é responsável por bilhões de solicitações diárias em toda a rede da Akamai e está crescendo mais rápido do que o tráfego geral de bots. Isso aumenta a complexidade da distinção entre bots legítimos que promovem o crescimento dos negócios e o de bots mal-intencionados associado a fraudes e violações digitais. Entre os impactos comerciais estão o aumento das despesas, a degradação do desempenho do website e a poluição das principais métricas.

O relatório SOTI explora os diferentes tipos de bots de IA, de bots de treinamento e de agente/assistente a bots de pesquisa, e suas funções. Embora os bots legítimos sejam transparentes em sua intenção, outros são projetados para evitar a detecção.

São particularmente preocupantes aqueles projetados para imitar interações humanas com o objetivo de investigar pontos fracos, e os chatbots de IA, como FraudGPT e WormGPT, que facilitam atos mal-intencionados, incluindo phishing e outros ciberataques.

O comércio teve a maior quantidade de atividade de bots de IA, atingindo mais de 25 bilhões de solicitações de bots durante um período de observação de dois meses. No setor de saúde, mais de 90% do tráfego de bots de IA é atribuído a atividades de scraping, principalmente de bots de pesquisa e treinamento. Outros setores com tráfego significativo de bots de IA incluem alta tecnologia e editorial.

Entre julho e agosto de 2025, os clientes da Akamai na América do Norte tiveram 54,9% de todas as atividades de bots de IA, seguidos por EMEA (23,6%), APAC (20,2%) e LATAM (1,3%). Em todas as regiões, os bots de treinamento representaram a grande maioria do tráfego de bots de IA.

Ao se concentrar nas principais vulnerabilidades, o relatório analisa fraudes e violações pela lente das listas Top 10 do OWASP. O relatório mapeia as vulnerabilidades relacionadas ao OWASP para áreas comuns vinculadas a fraudes e violações a fim de identificar os tipos mais evitáveis, um insight valioso para melhorar as proteções.

O relatório SOTI inclui colunas de convidados especiais escritas por especialistas em privacidade e segurança que oferecem uma visão mais aprofundada de tópicos específicos de interesse.

John "JD" Denning, CISO do Financial Service Information Sharing and Analysis Center (FS-ISAC), enfatiza a importância das defesas em camadas, dos manuais de resposta, da inteligência contra ameaças de todas as fontes e de uma abordagem colaborativa focada na defesa coletiva.

James A. Casey, vice-presidente e diretor de privacidade da Akamai, examina o cenário global de conformidade da IA. Ele oferece práticas recomendadas para adoção de um modelo de governança flexível e baseado em riscos para atender às normas emergentes de IA, preservando a velocidade, a escala e a precisão necessárias para se defender contra ataques automatizados.

O relatório SOTI também recomenda maneiras de mitigar com eficácia a ameaça representada por fraudes e violações baseadas em IA, combinando controles técnicos com políticas organizacionais claras e monitoramento contínuo.

Algumas dessas dicas práticas são: gerenciamento e monitoramento de bots baseados em risco, controles de segurança específicos para IA, uso de estruturas estabelecidas, como as desenvolvidas pelo OWASP, e a implementação de uma estratégia abrangente de segurança de APIs que cobre todo o ciclo de vida da API.

Uma coisa fica clara em nossa pesquisa: a IA se destaca como o fator mais significativo de mudança na fraude e na violação on-line, transformando estratégias de ataque e defesa.

Entender claramente essa ameaça em rápida evolução, e o que você pode fazer para reduzir seus riscos, é uma das maiores prioridades.

Você pode começar baixando o State of the Internet (SOTI) Fraud and Abuse Report 2025: Charting a Course Through AI’s Murky Waters.