Hackers estão criando 'chatbots do mal' para automatizar invasões
Ferramentas como "FraudGPT" e "BadGPT" estão aparecendo na internet para potencializar o processo de criar e-mails de "phishing"
Laura Pancini
Repórter
Publicado em 29 de fevereiro de 2024 às 13h19.
Chatbots para hackers estão surgindo na internet à medida que cibercriminosos começam a explorar o potencial da inteligência artificial generativa. Modelos com o nome de "BadGPT" e "FraudGPT", um trocadilho com o ChatGPT da OpenAI,estão automatizando o processo de criar e-mails de phishing, técnica utilizada para pegar informações confidenciais de alguém e aplicar golpes.
Somente com os "chatbots do mal", é possível criar sites falsos, escrever códigos de malware e personalizar mensagens para parecer uma entidade confiável, como o chefe, amigo ou familiar de alguém.
A IA generativa é treinada para evitar a detecção de possível phishing, da mesma forma que já existem ferramentas que humanizam o texto e ajudam alunos a colar na escola.
No início deste ano, um funcionário de uma empresa multinacional de Hong Kong entregou mais de US$ 25,5 milhões a um invasor que se passou por diretor financeiro da empresa em uma teleconferência falsa gerada por IA, informou o South China Morning Post.
Vale ressaltar que, apesar da associação com o chatbot da OpenAI, existem modelos de linguagem de código aberto que acabam sendo mais utilizados pelos hackers, como o Llama 2 da Meta. No caso da OpenAI, os hackers baixam versões "desbloqueadas" e que conseguem contornar os controles de segurança da empresa de Sam Altman.
Mais fácil do que nunca
No ano seguinte ao lançamento do ChatGPT, e-mails de phishing cresceram 1.265%,com uma média de 31.000 ataques enviados todos os dias, de acordo com um relatório da americana SlashNext publicado em outubro de 2023.
De acordo com o Wall Street Journal, pesquisadores da Universidade de Indiana recentemente analisaram mais de 200 modelos que podem servir para serviços hackers. O primeiro apareceu no início de 2023, também meses após a chegada do ChatGPT.
A realidade é que, com modelos de IA disponíveis gratuitamente na internet, ficou mais fácil do que nunca montar textos convincentes. Não é necessário ir atrás de algum programa obscuro para automatizar o processo, e sim só ir atrás de um modelo "sem censura". Esse estilo de modelo não possui proteção de dados do usuário, por exemplo, algo que as empresas buscam em ferramentas como o ChatGPT na hora de automatizar seus processos internos.
Ao WSJ, o hacker ético Dane Sherrets demonstrou como é fácil encontrar um modelo de IA para criar uma campanha de phishing.
- Sherrets procurou por modelos "sem censura" na Hugging Face, plataforma de modelos de código aberto;
- Depois, ele usou um serviço de US$ 1 que simula um chip avançado capaz de alimentar a IA;
- Com o GPU virtual e um modelo sem censura, Sherrets pediu para o chatbot escrever um e-mail de phishing e se passar pelo CEO de uma companhia, utilizando dados disponíveis publicamente;
- O bot enviou de volta e-mails de phishing bem escritos, mas que não incluíam toda a personalização solicitada;
- É aí que entra o fator humano: qualquer hacker pode, então, editar e enviar o phishing perfeito.
LEIA TAMBÉM: