Hackers estão criando 'chatbots do mal' para automatizar invasões

Chatbots para hackers estão surgindo na internet à medida que cibercriminosos começam a explorar o potencial da inteligência artificial generativa. Modelos com o nome de "BadGPT" e "FraudGPT", um trocadilho com o ChatGPT da OpenAI,estão automatizando o processo de criar e-mails de phishing, técnica utilizada para pegar informações confidenciais de alguém e aplicar golpes.

Somente com os "chatbots do mal", é possível criar sites falsos, escrever códigos de malware e personalizar mensagens para parecer uma entidade confiável, como o chefe, amigo ou familiar de alguém.

A IA generativa é treinada para evitar a detecção de possível phishing, da mesma forma que já existem ferramentas que humanizam o texto e ajudam alunos a colar na escola.

No início deste ano, um funcionário de uma empresa multinacional de Hong Kong entregou mais de US$ 25,5 milhões a um invasor que se passou por diretor financeiro da empresa em uma teleconferência falsa gerada por IA, informou o South China Morning Post.

Vale ressaltar que, apesar da associação com o chatbot da OpenAI, existem modelos de linguagem de código aberto que acabam sendo mais utilizados pelos hackers, como o Llama 2 da Meta. No caso da OpenAI, os hackers baixam versões "desbloqueadas" e que conseguem contornar os controles de segurança da empresa de Sam Altman.

Mais fácil do que nunca

No ano seguinte ao lançamento do ChatGPT, e-mails de phishing cresceram 1.265%,com uma média de 31.000 ataques enviados todos os dias, de acordo com um relatório da americana SlashNext publicado em outubro de 2023.

De acordo com o Wall Street Journal, pesquisadores da Universidade de Indiana recentemente analisaram mais de 200 modelos que podem servir para serviços hackers. O primeiro apareceu no início de 2023, também meses após a chegada do ChatGPT.

A realidade é que, com modelos de IA disponíveis gratuitamente na internet, ficou mais fácil do que nunca montar textos convincentes. Não é necessário ir atrás de algum programa obscuro para automatizar o processo, e sim só ir atrás de um modelo "sem censura". Esse estilo de modelo não possui proteção de dados do usuário, por exemplo, algo que as empresas buscam em ferramentas como o ChatGPT na hora de automatizar seus processos internos.

Ao WSJ, o hacker ético Dane Sherrets demonstrou como é fácil encontrar um modelo de IA para criar uma campanha de phishing.

• Sherrets procurou por modelos "sem censura" na Hugging Face, plataforma de modelos de código aberto;
• Depois, ele usou um serviço de US$ 1 que simula um chip avançado capaz de alimentar a IA;
• Com o GPU virtual e um modelo sem censura, Sherrets pediu para o chatbot escrever um e-mail de phishing e se passar pelo CEO de uma companhia, utilizando dados disponíveis publicamente;
• O bot enviou de volta e-mails de phishing bem escritos, mas que não incluíam toda a personalização solicitada;
• É aí que entra o fator humano: qualquer hacker pode, então, editar e enviar o phishing perfeito.

LEIA TAMBÉM:

• A nova concorrente do ChatGPT acaba de chegar ao mercado — e tem apenas nove meses
• Esta empresa de robôs humanóides conquistou OpenAI, Nvidia e Microsoft
• Por favor, ChatGPT: por que tratar chatbots com gentileza pode ser uma boa ideia