Cibercriminosos utilizam o ChatGPT para criar novos e mais convincentes golpes de phishing

 O ChatGPT está conquistando o mundo, tendo atingido 100 milhões de usuários apenas dois meses após o seu lançamento. No entanto, as histórias da mídia sobre a incrível capacidade da ferramenta de escrever textos que parecem humanos mascaram uma realidade potencialmente mais sombria.

Nas mãos erradas, o poderoso chatbot (agora também incorporado ao mecanismo de pesquisa do Bing) e tecnologias como essa podem ser utilizadas indevidamente por golpistas e, assim, ajudar a "democratizar" o cibercrime para as massas. Ao oferecer uma maneira automatizada e de custo relativamente baixo para criar campanhas de golpes em massa, isso pode ser o início de uma nova onda de ataques de phishing mais convincentes.

Como os cibercriminosos podem utilizar o ChatGPT como uma arma

O ChatGPT é baseado na família GPT-3 da OpenAI de "grandes modelos de linguagem". Como tal, ele foi cuidadosamente treinado para interagir com os usuários em um tom de conversa, impressionando muitos com suas respostas naturalistas. O produto ainda está dando seus primeiros passos, mas alguns dos sinais iniciais são preocupantes.

Embora a OpenAI tenha incorporado barreiras de proteção ao produto para evitar sua utilização para fins nefastos, elas nem sempre parecem ser eficazes ou consistentes. Entre outras coisas, foi relatado que uma solicitação para escrever uma mensagem pedindo ajuda financeira para fugir da Ucrânia foi sinalizada como uma fraude e negada. Mas uma solicitação separada para ajudar a escrever um e-mail falso informando a um destinatário que ele havia ganhado na loteria recebeu sinal verde. Relatórios separados sugerem que os controles criados para impedir que usuários de determinadas regiões acessem a interface de programação de aplicativos (API) da ferramenta também falharam.

Digite um prompt e pronto! Os criminosos também podem solicitar que a ferramenta ajustasse ainda mais esses tipos de mensagens (ainda na sua maioria, de tipo "boilerplate") de acordo com o conteúdo desejado e aproveitasse o resultado para realizar ataques, direcionados ou não.

Essa é uma má notícia para os usuários comuns da internet; na verdade, os cibercriminosos já foram vistos utilizando o ChatGPT para fins maliciosos em várias ocasiões. Esses desenvolvimentos podem colocar a capacidade de lançar ciberataques e golpes em larga escala, persuasivos, sem erros e até mesmo direcionados, como o golpe do Business Email Compromise (BEC), nas mãos de muito mais pessoas do que nunca.

Sinais de que você provavelmente está lendo um e-mail de phishing

1. Contacto não solicitado

As mensagens de phishing geralmente aparecem do nada. É verdade que as mensagens de marketing das empresas também podem parecer bastante repentinas. Mas quando um e-mail não solicitado que alega ser de um banco ou de qualquer outra organização aparece na sua caixa de entrada, você deve ficar automaticamente em alerta para atividades potencialmente suspeitas, principalmente se ele contiver um link ou anexo.

2. Links e anexos

Conforme mencionado, um dos métodos clássicos usados pelos criminosos para atingir seus objetivos é incorporar links maliciosos ou anexar arquivos maliciosos aos e-mails. Esses arquivos podem instalar malware secretamente em seu dispositivo ou, no caso de links, levá-lo a uma página de phishing onde será solicitado o preenchimento de informações pessoais. Evite clicar em links, fazer download de arquivos ou abrir anexos em mensagens, mesmo que elas pareçam ser de uma fonte conhecida e confiável, a menos que você tenha verificado com o remetente por outros canais que a mensagem é autêntica.

3. Solicitações de informações pessoais e financeiras

Qual é o objetivo final de um ataque de phishing? Por vezes, é persuadir o destinatário a instalar inadvertidamente malware no seu computador. Mas, na maioria dos outros casos, o objetivo é enganar o destinatário para que este entregue informações pessoais. Estas informações são geralmente vendidas em mercados da dark web e depois reunidas para cometer roubo de identidade e fraude. Pode ser um pedido para obter uma nova linha de crédito em seu nome ou o pagamento de um artigo com os dados do seu cartão, por exemplo.

Qual é o objetivo de um ataque de phishing? Às vezes, é persuadir o destinatário a instalar sem saber um malware em sua máquina. Mas, na maioria dos outros casos, é enganá-lo para que ele forneça informações pessoais. Essas informações geralmente são vendidas em mercados da dark web e depois reunidas para cometer roubo de identidade e fraude. Pode ser uma solicitação para obter uma nova linha de crédito em seu nome ou o pagamento de um item com os detalhes do seu cartão, por exemplo.

4. Tácticas de pressão

No centro do phishing está uma técnica conhecida como engenharia social, que é essencialmente a arte de fazer com que outras pessoas façam o que você quer por meio da persuasão e da exploração do erro humano. A criação de um senso de urgência é uma tática clássica de engenharia social, obtida ao dizer à vítima que ela tem um tempo limitado para responder, caso contrário será multada ou perderá a chance de ganhar algo.

5. Algo "gratuito"

Se algo parece bom demais para ser verdade, geralmente é. No entanto, isso não impede que as pessoas caiam em ofertas gratuitas inexistentes o tempo todo. Um exemplo clássico disso são os "brindes" generosos oferecidos às pessoas em troca da participação em pesquisas, nas quais elas têm que fornecer informações pessoais e/ou financeiras. Não é preciso dizer que a vítima nunca recebe o iPhone, o cartão-presente, o dinheiro ou qualquer outro item que lhe foi prometido.

6. Remetente e domínio real não coincidem

Os phishers geralmente tentam fazer com que seu endereço de e-mail pareça ter vindo de uma fonte legítima, quando na verdade não veio. Por exemplo, ao passar o mouse sobre o domínio do remetente, muitas vezes é possível ver o endereço de e-mail real que o enviou. Se os dois não coincidirem e/ou se o endereço de e-mail for uma longa combinação de caracteres aleatórios, há uma boa chance de se tratar de uma fraude.

7. Saudações desconhecidas ou genéricas

Os agentes de phishing tentam se passar por indivíduos de organizações legítimas em uma tentativa de criar confiança em suas vítimas. Mas eles nem sempre sabem o tom certo a ser usado ao enviar e-mails. Se você está acostumado a ser chamado pelo seu primeiro nome por uma empresa, mas depois recebe um e-mail mais formal, isso deve servir de alerta, e vice-versa. Além disso, nenhum banco ou outra organização legítima enviará um e-mail de um endereço que termine em @gmail.com.

8. Exploração de eventos atuais ou emergências

Outra técnica clássica de engenharia social é pegar carona em notícias populares ou emergências para persuadir os destinatários a clicar. É por isso que os e-mails de phishing dispararam durante a COVID-19 e também porque os criminosos implantaram golpes de caridade [1] logo após a Rússia invadir a Ucrânia. Seja sempre cético com relação a mensagens que citam eventos atuais.

9. Solicitações incomuns

Da mesma forma, fique atento a e-mails em que o remetente faz solicitações incomuns. Pode ser, por exemplo, o seu banco pedindo para confirmar detalhes pessoais e financeiros por e-mail ou texto, o que um banco real nunca fará. Qualquer e-mail que se inicie com "Prezado cliente" ou "Prezado [endereço de e-mail]" deve ser considerado suspeito.

10. Pedir dinheiro

O phishing consiste em coletar informações pessoais e/ou instalar malware. Mas alguns golpes são ainda mais diretos. Não é preciso dizer que você nunca deve concordar em entregar dinheiro a alguém que lhe envia uma mensagem não solicitada, mesmo que ela seja descrita como uma "taxa" para liberar uma entrega ou um prêmio em dinheiro.

 Os erros gramaticais podem ser coisa do passado graças a ferramentas como o ChatGPT. Mas, felizmente, há muitos outros sinais de aviso que nos alertam sobre possíveis golpes. Não perca tempo na Internet e sempre pense no que motivou uma pessoa a enviar uma determinada mensagem.