É como diz o ditado “se algo é popular, os criminosos irão explorá-lo”. Desta vez, estamos falando sobre o chatbot da moda, o ChatGPT, desenvolvido pela OpenAI, que tem estado em todos os noticiários ultimamente.
Quando a OpenAI abriu o acesso ao seu chatbot de inteligência artificial (ou seja, baseado em redes neurais treinadas em uma vasta fonte de texto), a internet mudou profundamente, e isso aconteceu praticamente da noite para o dia.
O ChatGPT pode manter um diálogo de forma que pareça que há uma pessoa real do outro lado. E o ponto mais inovador é que ele é ótimo para escrever textos curtos sobre um determinado assunto em um determinado estilo, incluindo poesia, e pode se adaptar a um formato específico e criar textos parecidos a de um redator júnior. Você também pode pedir conselhos ao ChatGPT sobre tópicos desconhecidos – e na maioria dos casos ele fornece dicas sólidas.
O uso do ChatGPT está se tornando popular, e não apenas por diversão, mas também para negócios. Com a ajuda de chatbots, você pode rapidamente preencher sites com conteúdo, criar descrições de produtos, gerar missões para jogos e fazer muitas outras coisas para ajudar pessoas de várias profissões no dia a dia.
Sem surpresa, os servidores ChatGPT foram rapidamente sobrecarregados, então a Open AI teve que aumentar sua capacidade. A empresa logo atraiu investimentos da Microsoft, e agora o ChatGPT foi integrado ao Bing, embora com restrições. Em um movimento de resposta, o Google se apressou em lançar sua própria rede neural, a Bard, que tem recursos semelhantes, mas não foi considerada pela empresa como totalmente pronta para disponibilização no mercado.
Por enquanto, o uso de chatbots em ataques de phishing ou desenvolvimento de malware permanece no nível teórico. Na prática, porém, o ChatGPT já está sendo usado como isca para espalhar malware.
Simplesmente porque o serviço está extremamente popular. Embora o ChatGPT seja tecnicamente gratuito, nem sempre é fácil acessá-lo. Primeiro, para registrar uma conta no site da OpenAI, você precisa inserir seu endereço de e-mail e número de telefone. Mas nem todos os códigos de país são aceitos: o registro do ChatGPT está atualmente indisponível na Rússia, China, Egito, Irã e alguns outros países. Portanto, nem todos podem obter uma conta facilmente.
Em segundo lugar, mesmo que você tenha criado uma conta no site da OpenAI, não é certo que você conseguirá realmente usar o ChatGPT: o serviço está quase sempre sobrecarregado com usuários querendo experimentar a IA, com um pedido para escrever uma sinopse de marketing ou outras pequenas tarefas. O fluxo de usuários foi tão grande que a OpenAI introduziu um plano de assinatura com acesso prioritário e geração de texto mais rápida por US$ 20 mensais.
Alta demanda e baixa disponibilidade. Isso é o suficiente para os golpistas.
Os especialistas da Kaspersky, parceira Brasiline, descobriram uma campanha maliciosa que explora a crescente popularidade do ChatGPT. Os fraudadores criam grupos nas redes sociais que se passam, de forma convincente, por contas oficiais da OpenAI. Em outros casos, atuam em comunidades de entusiastas. Esses grupos publicam postagens igualmente persuasivas: dizem que o ChatGPT atingiu um milhão de usuários mais rápido do que qualquer outro serviço e, no fim desse mesmo post, inserem um link para um suposto download de um cliente para desktop do serviço.
Para motivar ainda mais os potenciais usuários, os criminosos dizem que cada conta já tem US$ 50 em seu saldo, que podem ser gastos com o uso do chatbot. Tudo parece uma oportunidade genuína de usar o ChatGPT sem o problema de criar uma conta e até mesmo de obter recursos premium de graça: basta baixar a aplicação para desktop e relaxar.
Você provavelmente pode adivinhar o que acontece a seguir. Clicar no link com uma URL muito plausível abre um site bem construído, convidando você a baixar o ChatGPT para Windows. Não é o site oficial, claro, mas muito parecido com o original. Se você clicar no botão de download, um arquivo executável será realmente baixado.
Se este arquivo for descompactado e o arquivo executável for aberto, dependendo da versão do Windows, o usuário verá uma mensagem informando que a instalação falhou por algum motivo ou nenhuma mensagem – nesse ponto, o processo parece concluído. “Ah, que pena… não consegui usar uma conta pré-criada com recursos premium”, pensará o usuário e esquecerá o incidente, provavelmente recorrendo à criação de uma conta normal no site real do ChatGPT.
Um Trojan ladrão inédito é instalado no computador do usuário, de onde ele extrai as credenciais da conta armazenadas no Chrome, Edge, Firefox, Brave, CôcCôc (popular no Vietnã) e outros navegadores. Nós o batizamos de Trojan-PSW.Win64.Fobo.
Os criadores do Trojan estão interessados em cookies e contas do Facebook, TikTok e Google, em particular contas comerciais. O vírus rouba nomes de usuário e senhas e, ao encontrar uma conta comercial em um desses serviços, tenta obter informações adicionais, como quanto dinheiro foi gasto em publicidade pela conta e qual é o saldo atual.
De acordo com a Kaspersky, os cibercriminosos têm como alvo o mercado internacional – o “cliente de desktop ChatGPT” já foi detectado na Ásia, África, Europa e América.
Para começar, observe que não há cliente oficial para desktop ou dispositivos móveis do ChatGPT – apenas a versão web. Curiosamente, o próprio chatbot faz exatamente isso quando solicitado a escrever uma postagem no blog sobre essa campanha fraudulenta.
Também não há necessidade de usar contas “pré-criadas”, é claro. Atualmente, o único recurso pago do OpenAI é uma assinatura mensal com acesso prioritário, caso contrário, o acesso ao ChatGPT é totalmente gratuito. Assim, você pode registrar uma conta real do ChatGPT gratuitamente, sem compromisso. Mesmo que seu número de telefone não seja apto devido às restrições de alguns países, você pode pedir a um amigo no exterior para comprar um cartão SIM descartável ou usar um número de telefone temporário. Existem muitos serviços que oferecem números de telefone temporários para receber códigos de verificação por texto.
Para fazer isso, não entre a partir de um link, mas insira você mesmo a URL na barra de endereço. E tenha uma boa solução de segurança instalada em seu computador.
Quanto aos clientes de desktop ChatGPT, eles provavelmente aparecerão mais cedo ou mais tarde, se não oficiais, então de terceiros. Mas sempre pense três vezes antes de usar qualquer tipo de cliente de terceiros – e, se o fizer, ter uma proteção de segurança é fortemente recomendável.
A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.
Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
Principais descobertas do Relatório de Segurança na Nuvem de 2024
OT ajuda com processos, dispositivos e infraestrutura
