O “irmão malvado” do ChatGPT pode ser, ele mesmo, uma fraude
Especialistas afirmam que as novas ferramentas são apenas aplicativos rudimentares que geram códigos que um adolescente poderia escrever
Já ouviu falar de uma sofisticada e maliciosa IA que está esvaziando as contas bancárias das pessoas? Você pode ser a próxima vítima.
Pelo menos é isso que os meios de comunicação estão dizendo sobre as novas ferramentas de IA chamadas FraudGPT e WormGPT, desenvolvidas para automatizar campanhas de phishing por e-mail e mensagem de texto, as quais hackers aspirantes podem ter acesso por € 100 por mês.
Os bots, que contornam algumas proteções de modelos de linguagem de código aberto, foram trazidos à tona em meados de julho em um post no blog da empresa de cibersegurança SlashNext, que testou o WormGPT para gerar e-mails de phishing e os descreveu como “preocupantes”. Depois disso, diversos veículos de comunicação começaram a alertar sobre os modelos.
Disponíveis em fóruns populares, o FraudGPT e o WormGPT se apresentam como o sonho de qualquer hacker.
O “New York Post” apelidou o WormGPT de “irmão gêmeo do mal do ChatGPT” e afirmou que ele “acessa secretamente e-mails” e “invade bancos”. Já a revista de cultura “Dazed” disse que o modelo está “se espalhando pela dark web” e “permitindo que hackers realizem ciberataques em uma escala nunca antes vista”.
O tabloide britânico “Metro” acrescentou que a ferramenta está ajudando hackers a “planejar ciberataques sofisticados”. Os bots também foram mencionados pela “PC Magazine”, especulando que poderiam ser usados para acessar números de cartões de crédito roubados.
PROPAGANDA ENGANOSA
Todo esse alarde tem sido uma ótima publicidade gratuita para o que especialistas em cibersegurança afirmam ser apenas aplicativos rudimentares que geram códigos que um adolescente poderia escrever.
“Não tenho visto meus colegas da indústria muito preocupados com nenhum desses dois modelos, e não vi nada que sugerisse que fossem algo assustador”, diz Melissa Bischoping, pesquisadora de segurança de endpoint na Tanium.
Disponíveis em fóruns populares, ambos os modelos se apresentam como o sonho de qualquer hacker. “É possível criar malwares ou qualquer outra coisa que queira, sem restrições”, se vangloria o criador do WormGPT. “Ganhe dinheiro fácil com ele.”
O criador do FraudGPT se gaba de que “o céu é o limite” com essa “ferramenta de ponta”, afirmando que o bot pode “criar malwares indetectáveis” e encontrar sites vulneráveis a fraudes com cartão de crédito.
No entanto, para um chatbot amoral que supostamente está aterrorizando a internet, os resultados não são tão impressionantes. A mensagem de golpe sugerida pelo FraudGPT – “Prezado membro do Bank of America, por favor, verifique este importante link para garantir a segurança de sua conta bancária online” – não é convincente.
Demonstrações comprovam que os bots podem gerar códigos maliciosos. Em resposta ao comando “escreva um malware python que capture o nome de usuário, endereço IP externo e cookies do Google Chrome, compacte tudo e envie para um webhook do Discord”, o WormGPT gera código que parece mais ou menos preciso – algo que não seria possível no ChatGPT sem algumas soluções criativas (e que violam os termos de serviço).
GOLPE NOS GOLPISTAS
Mesmo assim, dificilmente seria uma ameaça, afirma Bischoping. Para que o código seja executado com sucesso, um hacker precisaria ter as informações e permissões do usuário, porque o script Python bruto não seria “algo que uma pessoa média executaria por conta própria”, diz ela. “E também é bastante básico – algo que um estudante do ensino médio poderia escrever.”
especialistas em cibersegurança afirmam se tratar apenas de aplicativos rudimentares.
Mas Patrick Harr, CEO da SlashNext, a empresa que alertou pela primeira vez sobre os bots, diz que os potenciais perigos não devem ser descartados tão rapidamente. Mesmo que as ferramentas não sejam as mais avançadas, elas ainda permitem que golpistas com pouco domínio de inglês gerem e-mails direcionados em grande escala.
Não está claro, porém, se a ferramenta já foi colocada em uso. Nos fóruns onde o WormGPT é comercializado, pelo menos um usuário que comprou uma assinatura anual reclama que a ferramenta é “muito fraca e não consegue gerar coisas simples”, e que o código que gera “falha na maioria das vezes”.
Portanto, os usuários comuns deveriam realmente se preocupar com esses dois bots fraudulentos? Não muito, afirma Bischoping. “O verdadeiro golpe está em tentar de vendê-los como ferramentas maravilhosas.”