A inteligência artificial generativa revolucionou quase todas as facetas da vida diária em um tempo relativamente curto. Um efeito colateral infeliz desse popularidade, no entanto, é uma onda de golpes de phishing utilizando a tecnologia. Um novo relatório da empresa de cibersegurança SlashNext diz que os e-mails de phishing aumentaram 1,265% desde o lançamento do ChatGPT.
Além do desenvolvimento de ferramentas de IA geradoras de malware, como WormGPT, Dark Bart e FraudGPT, que estão se espalhando na darkweb, os cibercriminosos também estão encontrando novas maneiras de desbloquear o principal chatbot de IA da OpenAI.
“Quando o ChatGPT foi lançado em fevereiro, vimos um aumento dramático no número de ataques de phishing, obviamente em parte impulsionado por ataques gerais por causa do sucesso”, disse Patrick Harr, CEO da SlashNext ao Decrypt.
Ataques de phishing são os ataques cibernéticos que se apresentam na forma de e-mail, texto ou mensagem nas redes sociais que parece vir de uma fonte respeitável. Os ataques de phishing também podem ser concebidos para direcionar as vítimas para sites maliciosos, fazendo com que assinem transações com suas carteiras de criptomoedas, drenando seus fundos posteriormente.
De acordo com o relatório da SlashNext, no último trimestre de 2022, 31 mil ataques de phishing foram enviados diariamente, o que já representou um aumento de 967% no phishing de credenciais. 68% de todos os ataques de phishing, disse SlashNext, são baseados e-mails comerciais de texto (BEC), e 39% de todos os ataques baseados em dispositivos móveis foram ataques phishing por SMS.
“Embora tenha havido algum debate sobre a verdadeira influência da IA generativa na atividade cibercriminosa, sabemos, a partir de nossa pesquisa, que os agentes de ameaças estão aproveitando ferramentas como o ChatGPT para ajudar a escrever e-mails comerciais maliciosos bastante sofisticados e direcionados, além de outras mensagens de phishing”, disse Harr.
Leia também: O que é Inteligência Artificial Generativa? A tecnologia que vai moldar o futuro da criação de conteúdo
“Na sua essência, estes são ataques baseados em links que tentam induzir o usuário a fornecer acesso às credenciais, nome de usuário e senha”, acrescentou Harr, observando que os ataques de phishing também podem levar à instalação de ransomwares. “O ataque contra a Colonial Pipeline foi um ataque de phishing de credenciais, em que [os atacantes] conseguiram obter acesso ao nome de usuário e senha de um usuário.”
Como resolver esse problema?
Como os cibercriminosos usam IA generativa para atingir as vítimas, Harr disse que os profissionais de cibersegurança devem partir para a ofensiva e lutar contra a IA com a IA.
Leia Também
“Essas empresas têm que incorporar IA diretamente em seus programas de segurança para que [a IA] esteja constantemente vasculhando todos os seus canais de mensagens para remover essas ameaças”, disse ele. “É exatamente por isso que usamos a IA generativa em nossos próprios conjuntos de ferramentas para detectar e não apenas bloquear, mas também para prever como o próximo ataque vai acontecer.”
Mas embora Harr esteja otimista sobre a capacidade da IA de capturar IAs desonestas em flagrante, ele reconhece que será necessário mais do que dizer ao ChatGPT para procurar ameaças cibernéticas.
“Você tem que ter o equivalente a um aplicativo de modelo de linguagem grande privado focado apenas nisso, que é ajustado para procurar grandes ameaças”, disse ele.
Embora desenvolvedores de IA como a OpenAI, a Anthropic e a Midjourney tenham trabalhado duro para incluir barreiras de proteção contra o uso de suas plataformas para fins maliciosos, como ataques de phishing e disseminação de desinformação, usuários habilidosos e criminosos estão bem focados em contornar esses sistemas de proteção.
Na semana passada, a RAND Corporation divulgou um relatório no qual sugeria que os terroristas poderiam aprender a realizar um ataque biológico usando chatbots de IA generativos. Embora o chatbot não tenha explicado como construir a arma, usando instruções de jailbreak, o chatbot poderia explicar como o ataque deveria ser realizado.
Os pesquisadores também descobriram que, usando línguas menos testadas como o Zulu e o Gaélico, eles poderiam hackear o ChatGPT e fazer com que o chatbot explicasse como roubar uma loja.
Em setembro, a OpenAI lançou uma chamada aberta a profissionais de cibersegurança ofensiva, também conhecidos como Equipes Vermelhas, para ajudar a encontrar falhas de segurança nos seus modelos de IA.
“As empresas têm de repensar as suas posturas de cibersegurança”, concluiu Harr. “Eles precisam usar ferramentas generativas baseadas em IA para detectar e responder a essas coisas ou, mais importante, não apenas para detectar, bloquear e parar antes de agir.”
*Traduzido por Gustavo Martins com autorização do Decrypt.
- Quer desvendar os mistérios do Bitcoin? Adquira “O Livro de Satoshi”, um compilado de escritos e insights de Satoshi Nakamoto