Escrevendo como um chefe com o ChatGPT e como melhorar a detecção de golpes de phishing

O ChatGPT tem conquistado o mundo, tendo atingiu 100 milhões de usuários apenas dois meses após o lançamento. No entanto, as histórias da mídia sobre a incrível capacidade da ferramenta de escrever textos com sonoridade humana mascaram uma realidade potencialmente mais sombria.

Nas mãos erradas, o poderoso chatbot (agora também embutido no motor de busca Bing) e tecnologias como essa podem ser mal utilizadas por golpistas e, assim, ajudar a “democratizar” o cibercrime para as massas. Ao fornecer uma maneira automatizada e de baixo custo para criar campanhas fraudulentas em massa, pode ser o início de uma nova onda de ataques de phishing mais convincentes.

Como os cibercriminosos podem transformar o ChatGPT em uma arma

ChatGPT é baseado na família GPT-3 da OpenAI de “grandes modelos de linguagem”. Como tal, foi meticulosamente treinado para interagir com os usuários em um tom de conversa, impressionando muitos com suas respostas naturalistas. Ainda é cedo para o produto, mas alguns dos sinais iniciais são preocupantes.

Embora a OpenAI tenha construído proteções no produto para impedir seu uso para fins nefastos, elas nem sempre parecem ser eficazes ou consistentes. Entre outras coisas, foi reivindicado que um pedido para escrever uma mensagem pedindo ajuda financeira para fugir da Ucrânia foi sinalizado como uma farsa e negado. Mas um pedido separado para ajudar a escrever um e-mail falso informando ao destinatário que ele havia ganhado na loteria recebeu sinal verde. Relatórios separados sugerem que os controles projetados para impedir que usuários em determinadas regiões acessem a interface de programação de aplicativos (API) da ferramenta também falharam.

Digite um prompt e pronto! Os criminosos também podem pedir à ferramenta para ajustar ainda mais esses tipos de mensagens (ainda em sua maioria padronizadas) para o conteúdo de seus corações e aproveitar a saída para ataques, tanto direcionados quanto indiscriminados.

Esta é uma má notícia para os usuários comuns da Internet; na verdade, cibercriminosos já foram vistos usando o ChatGPT para fins maliciosos em diversas ocasiões. Esses desenvolvimentos podem aumentar a capacidade de lançar ataques cibernéticos e golpes em larga escala, persuasivos, sem erros e até mesmo direcionados, como fraude de comprometimento de e-mail comercial (BEC) nas mãos de muito mais pessoas do que nunca.

De fato, a maioria (51%) os líderes de segurança cibernética agora esperam ChatGPT será abusado por um ataque cibernético bem-sucedido dentro de um ano.

Uma conclusão clara é que todos nós precisamos melhorar em detectar o indicador sinais de golpes de phishing online e prepare-se para um aumento potencial de e-mails maliciosos. Aqui estão algumas coisas a serem observadas:

Sinais de que você provavelmente está lendo um e-mail de phishing

1. Contato não solicitado

As mensagens de phishing geralmente aparecem do nada. Concedido, missivas de marketing de negócios também podem parecer bastante repentinas. Mas quando um e-mail não solicitado que afirma ser de um banco ou de qualquer outra organização aparece em sua caixa de entrada, você deve ficar automaticamente alerta para atividades potencialmente suspeitas, ainda mais se contiver um link ou anexo.

2. Links e anexos

Conforme mencionado, um dos métodos clássicos usados ​​pelos golpistas para atingir seus objetivos é incorporar links maliciosos ou anexar arquivos maliciosos aos seus e-mails. Estes podem secretamente instalar malware no seu dispositivo ou, no caso de links, levá-lo a uma página de phishing, onde serão solicitados a preencher informações pessoais. Evite clicar em links, baixar arquivos ou abrir anexos em mensagens, mesmo que pareçam ser de uma fonte conhecida e confiável – a menos que você tenha verificado com o remetente por meio de outros canais que a mensagem é autêntica.

3. Solicitações de informações pessoais e financeiras

Qual é o objetivo final de um ataque de phishing? Às vezes, é para persuadir o destinatário a instalar malware involuntariamente em sua máquina. Mas, na maioria dos outros casos, é para induzi-los a fornecer informações pessoais. Isso geralmente é vendido em mercados da dark web e depois reunido para cometer roubo de identidade e fraude. Pode ser um pedido de abertura de uma nova linha de crédito em seu nome, ou o pagamento de um item com os dados do seu cartão, por exemplo.

4. Táticas de pressão

No centro do phishing está uma técnica conhecida como engenharia social, que é essencialmente a arte de fazer outras pessoas fazerem o que você quer através de persuasão e exploração do erro humano. Criar um senso de urgência é uma tática clássica de engenharia social – conseguida dizendo à vítima que ela só tem um tempo limitado para responder ou então será multada ou perderá a chance de ganhar algo.

5. Algo 'grátis'

Se algo parece bom demais para ser verdade, geralmente é. No entanto, isso não impede que as pessoas se apaixonem por brindes inexistentes o tempo todo. Um exemplo clássico disso são os generosos 'presentes' oferecidos às pessoas em troca de participando de pesquisas, em que devem entregar informações pessoais e/ou financeiras. Desnecessário dizer que a vítima nunca recebe seu iPhone, vale-presente, dinheiro ou qualquer outro item prometido.

6. Exibição do remetente incompatível e domínio real

Muitas vezes, os phishers tentam fazer com que seu endereço de e-mail pareça ter vindo de uma fonte legítima, quando na verdade não é. Por exemplo, ao passar o mouse sobre o domínio do remetente, você pode ver o endereço de e-mail real que o enviou. Se os dois não corresponderem e/ou se o subjacente for uma longa combinação de caracteres aleatórios, há uma boa chance de ser uma farsa.

7. Saudações desconhecidas ou genéricas

Os atores de phishing tentam se passar por indivíduos de organizações legítimas em uma tentativa de conquistar a confiança de suas vítimas. Mas eles nem sempre sabem o tom certo a usar ao enviar e-mails. Se você está acostumado a ser chamado pelo primeiro nome por uma empresa, mas depois vê um e-mail mais formal, deve soar o alarme e vice-versa. Além disso, nenhum banco legítimo ou outra organização enviará a você um e-mail de um endereço que termine em @gmail.com.

8. Explorar eventos atuais ou emergências

Outra técnica clássica de engenharia social é pegar carona em eventos de notícias populares ou emergências para persuadir os destinatários a clicar. É por isso que os e-mails de phishing dispararam durante o COVID-19 e também por isso criminosos implantaram golpes de caridade logo depois que a Rússia invadiu a Ucrânia. Sempre seja cético em relação a mensagens que citam eventos atuais.

9. Pedidos incomuns

Da mesma forma, procure e-mails nos quais o remetente faz solicitações incomuns. Pode ser, por exemplo, o seu banco a pedir a confirmação de dados pessoais e financeiros via e-mail ou SMS, que um banco real nunca fará. Qualquer e-mail que abra com “Prezado cliente” ou “Prezado” deve fazer soar o alarme.

10. Pedir dinheiro

Phishing é sobre a coleta de informações pessoais e/ou instalação de malware. Mas alguns golpes são ainda mais diretos. Escusado será dizer que você nunca deve concordar em entregar dinheiro a alguém que lhe envia uma mensagem não solicitada, mesmo que seja descrito como uma “taxa” para liberar uma entrega ou um prêmio em dinheiro.

Erros gramaticais podem ser coisa do passado graças a ferramentas como ChatGPT. Mas, felizmente, existem muitos outros sinais de alerta para nos alertar sobre possíveis fraudes. Passe algum tempo on-line e sempre pense no que motivou um indivíduo a enviar uma mensagem específica.



• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.welivesecurity.com/2023/02/22/chatgpt-level-up-phishing-defenses/