Autoria: Samuel Cruz
Departamento de Sistemas de Informação
Chatbots generativos pre-treinados como o ChatGPT da OpenAI ou o Bard da Google estão a ser usados na produção de conteúdo para ataques de phishing.
Segundo a empresa de segurança SlashNext, desde o lançamento público do ChatGPT a 30 de novembro de 2022, os ataques de phishing com o propósito de obter credenciais de acesso aumentaram 697%. Este aumento não está diretamente relacionado com a utilização de Chatbots, uma vez que falamos de um tipo de ataque que já vinha a crescer nos últimos anos, mas estará indiretamente. Uma razoável fatia dos trabalhadores de empresas que estão suscetíveis a ataques de phishing foi criando awareness para o tema, através de formações, campanhas, artigos, e alguns por terem sido efetivamente vítimas dos ataques. Então se cada vez mais utilizadores estão treinados para detetar este tipo de ataques como se justifica que o seu número aumente em vez de diminuir? Porque os ataques de phishing, sobretudo os que circulam via e-mail estão cada vez melhores, o que faz com que apesar do awareness aumentar, o sucesso deles não diminui.
Com a ajuda de Chatbots, cibercriminosos menos talentosos ou com menos recursos conseguem reduzir algumas barreiras que tinham antes. Um dos fatores que normalmente denunciava um email de phishing era a forma pouco sofisticada como estava escrito. Muitas vezes com erros ortográficos ou com um tipo de linguística que permitia facilmente entender que havia sido fruto de um tradutor automático. Acontece que estas ferramentas de AI conseguem escrever texto em quase todos os idiomas de forma exemplar, o que os torna por essa via muito difíceis de detetar.
Outro fator é o facto destes chatbots permitirem em minutos sintetizar e resumir toda a informação que estiver disponível publicamente na internet sobre uma empresa, o que permite aos atacantes criar conteúdo para os seus ataques mais direcionado e melhor contextualizado.
Por fim, mas não menos importante, estas ferramentas de inteligência artificial podem ajudar os atacantes a criar o próprio layout por exemplo de um email de phishing uma vez que são incríveis a escrever código em quase todas as linguagens de programação. Rapidamente geram o código HTML necessário para colocar numa email que o faça parecer legítimo, por exemplo uma notificação da Microsoft a solicitar a um utilizador que clique num link para fazer reset à sua password.
Com estes avanços na sofisticação dos emails de phishing que os torna praticamente indetetáveis é cada vez mais importante que sejam os próprios utilizadores de email a defender-se, utilizando a clássica prática – Se não estou à espera de receber isto, desconfio que seja legitimo.
