Golpes e fraudes na internet não são acontecimentos novos, todos estamos cansados de ver anúncios e links suspeitos nos sites e e-mails prontos para liberar algum tipo de vírus em nossos dispositivos. Porém, com o advento da inteligência artificial, situações como o surgimento do BadGPT estão mais comuns.
Chatbots para hackers estão emergindo na web à medida que criminosos cibernéticos começam a explorar as capacidades da inteligência artificial generativa. Algum tempo após a introdução do ChatGPT, em novembro de 2022, os primeiros chatbots de IA para gerar fraudes também entraram em operação.
Esse artigo irá trazer mais informações sobre esse tipo de prática, assim como dicas de como se proteger, então leia atentamente para entender esse e outros tópicos, como:
O que é BadGPT?
Modelos chamados de “BadGPT” e “FraudGPT”, em uma referência irônica ao ChatGPT da OpenAI, estão automatizando o processo de criação de e-mails de phishing, uma técnica usada para obter informações confidenciais e realizar golpes. Com esses “chatbots maliciosos”, é possível criar sites falsos, escrever códigos de malware e personalizar mensagens para se parecerem com uma entidade confiável, como o chefe, amigo ou familiar de alguém.
Ambas as tecnologias, tanto a legítima quanto a fraudulenta, estão surgindo em ritmos semelhantes, e hackers já estão utilizando essas versões “alternativas” para aprimorar seus golpes. Recentemente, por exemplo, um funcionário de uma empresa multinacional em Hong Kong recebeu um e-mail de seu CEO. Ele participou de uma videoconferência com outros executivos e realizou uma transação de US$25,5 milhões (R$126,17 milhões, em conversão direta), apenas para descobrir meses depois que tanto o e-mail quanto a videochamada eram falsos e gerados por IA.
Como essa tecnologia é utilizada pelos hackers?
A verdade é que, com modelos de inteligência artificial acessíveis de forma gratuita na internet, tornou-se mais simples do que nunca criar textos persuasivos. Não é preciso buscar por algum software obscuro para automatizar o processo, basta procurar por um modelo “não moderado”. Esse tipo de modelo não conta com proteção de dados do usuário, por exemplo, um aspecto que as empresas procuram em ferramentas como o ChatGPT ao automatizar seus procedimentos internos.
O especialista em segurança ética Dane Sherrets demonstrou como é simples encontrar um modelo de inteligência artificial para criar uma campanha de phishing.
- Sherrets buscou por modelos “não moderados” na Hugging Face, uma plataforma de modelos de código aberto;
- Em seguida, ele utilizou um serviço de US$ 1 que simula um chip avançado capaz de alimentar a IA;
- Com o GPU virtual e um modelo não moderado, Sherrets solicitou ao chatbot que escrevesse um e-mail de phishing e se passasse pelo CEO de uma empresa, utilizando informações disponíveis publicamente;
- O bot retornou com e-mails de phishing bem redigidos, mas que não incluíam toda a personalização solicitada;
- É aí que entra o fator humano: qualquer hacker pode, então, editar e enviar o phishing perfeito.
É importante destacar que, apesar da ligação com o chatbot da OpenAI, há modelos de linguagem de código aberto que são mais frequentemente usados pelos hackers, como o Llama 2 da Meta. No caso da OpenAI, os hackers baixam versões “desbloqueadas” que conseguem burlar os controles de segurança da empresa.
Como funciona a inteligência artificial e suas problemáticas no dia a dia?
A inteligência artificial (IA) é um campo da ciência da computação que desenvolve sistemas capazes de realizar tarefas que normalmente exigiriam inteligência humana, como reconhecimento de padrões, tomada de decisões e aprendizado. Isso é feito por meio de algoritmos e modelos que processam grandes quantidades de dados para identificar padrões e fazer previsões.
No entanto, o uso problemático da IA, especialmente com modelos como o BadGPT, pode ter impactos significativos no dia a dia da sociedade. Por exemplo, a utilização de chatbots maliciosos pode resultar em campanhas de phishing mais sofisticadas e convincentes, levando a um aumento de fraudes e roubo de informações pessoais. Além disso, a disseminação de desinformação e fake news pode ser potencializada pela geração automatizada de conteúdo enganoso.
Outra preocupação está relacionada à privacidade e segurança dos dados. Modelos como o BadGPT podem ser usados para criar e-mails, mensagens e conteúdos falsos que parecem autênticos, dificultando a identificação de fraudes e golpes. Isso pode afetar a confiança das pessoas em sistemas digitais e em suas interações online.
Em resumo, o uso indevido da inteligência artificial, especialmente em modelos como o BadGPT, pode comprometer a segurança, privacidade e confiança na tecnologia, afetando diretamente o dia a dia da sociedade.
Como se prevenir de ataques que utilizam o BadGPT?
Não existe método perfeito de segurança cibernética, isso é válido tanto para programas quanto para pessoas reais. Existem diversas formas de se proteger de um ciberataque, e para garantir um bom nível de cibersegurança é recomendável que se utilize mais de um método ao mesmo tempo. Segue abaixo alguns exemplos de métodos:
- Conscientização e treinamento: Educar funcionários e usuários sobre práticas seguras de internet e reconhecimento de phishing pode ajudar a reduzir o impacto de ataques.
- Autenticação de dois fatores: Usar autenticação de dois fatores (2FA) pode adicionar uma camada extra de segurança aos sistemas, dificultando o acesso não autorizado.
- Atualizações regulares: Manter sistemas operacionais, aplicativos e software de segurança atualizados com as últimas correções de segurança pode ajudar a proteger contra vulnerabilidades conhecidas.
- Firewalls e antivírus: Utilizar firewalls e software antivírus pode ajudar a proteger contra malwares e outras ameaças.
- Monitoramento de rede: Monitorar o tráfego de rede em busca de atividades suspeitas pode ajudar a detectar e responder rapidamente a possíveis ataques.
- Segmentação de rede: Segmentar a rede em diferentes zonas de segurança pode limitar o impacto de um ataque, isolando partes da rede comprometidas.
- Backups regulares: Realizar backups regulares dos dados importantes pode ajudar a restaurar informações em caso de perda devido a um ataque.
- Políticas de segurança: Implementar e fazer cumprir políticas de segurança claras pode ajudar a proteger informações confidenciais e reduzir o risco de exposição a ciberataques.
É importante lembrar que a cibersegurança é um esforço contínuo e em constante evolução, e que nenhuma medida isolada pode garantir proteção total contra ameaças cibernéticas. Por isso, é fundamental adotar uma abordagem abrangente e estar sempre atualizado sobre as melhores práticas de segurança.
Conclusão
Com a evolução das tecnologias disponíveis para a sociedade, é esperado que truques, fraudes e golpes também se tornem mais sofisticados. Diariamente, observamos um aumento no número de casos de deepfakes que afetam tanto pessoas físicas quanto empresas.
No entanto, é irrealista esperar que a tecnologia pare de evoluir. Portanto, é essencial que busquemos compreender cada vez mais essas ferramentas e como são utilizadas. Somente assim poderemos desenvolver estratégias eficazes para nos proteger e lidar com essas fraudes e golpes.