.
Eu tirei uma pausa muito necessária de escrever no Strong The One durante os últimos seis meses. Agora estou de volta – e a primeira coisa que tenho a dizer é que sou um idiota.
No tempo em que estive fora, tive muita exposição à inteligência artificial generativa (IA) e modelos de linguagem grandes (LLMs) como profissional de criação de conteúdo, tanto como uma ferramenta poderosa para melhorar a produtividade quanto como um criativo assistente. Mas, como acontece com qualquer tecnologia, há um lado negro e o potencial de abuso.
Além disso: 6 maneiras prejudiciais de o ChatGPT ser usado por pessoas mal-intencionadas
Na semana passada, quase certamente fui alvo de uma tentativa de phishing assistida por IA. Quase fui vítima disso, embora já tenha escrito sobre esse assunto profissionalmente e tenha trabalhado anteriormente como analista de ameaças em uma grande empresa de segurança da informação especializada em proteger empresas contra ataques de phishing.
Eu deveria saber melhor? Absolutamente.
Mas, como seres humanos, somos tão bons quanto somos treinados para reconhecer o phishing, e parte dessa capacidade é ser capaz de distinguir o falso do real e treinar o antigo cérebro de lagarto para gritar conosco quando algo cheira errado.
Além disso: a IA generativa traz novos riscos para todos. Veja como você pode ficar seguro
No entanto, se algo parecer suficientemente autêntico, mesmo alguém com muita experiência pode acabar fazendo algo tolo. E essa pessoa era eu.
Como fui phishing usando IA
Nas últimas semanas, recebi e-mails que se assemelham muito a faturas do Stripe, um processador de pagamentos frequentemente usado para transações de criptomoedas. O e-mail é uma mensagem em formato HTML que parece muito autêntica e inclui até mesmo anexos em PDF que se parecem com faturas de compras de criptomoedas por meio da Coinbase.
E-mail de phishing se passando por uma fatura do PayPal. Captura de tela de Jason Perlow/Strong The One
PDF anexado com pagamento Coinbase falsificado via PayPal, com número de telefone de suporte ao cliente 888 convincente. Captura de tela de Jason Perlow/Strong The One
Estou acostumado a ver e-mails de phishing que são muito menos convincentes porque têm erros de formatação, frase e ortografia facilmente detectáveis. Mesmo os campos de assunto do e-mail às vezes parecem sem sentido – não são comunicações oficiais de um fornecedor ou provedor de serviços autêntico.
Além disso: As melhores VPNs de viagem no momento: Especialista testado e revisado
Além disso, as tentativas de phishing com as quais estou acostumado terão links que apontarão para sites falsos de bancos ou fornecedores com URLs misteriosos, nos quais você será solicitado a inserir credenciais e acabará fornecendo senhas. Sempre que recebo esses tipos de e-mails de phishing, eles acionam meus alarmes e eu os denuncio.
Muitos deles são tão obviamente maliciosos que nem vão parar na minha caixa de entrada; eles vão direto para o spam. Também treinei meu cérebro para nunca clicar em um link, e também não cliquei em nenhum dos links deste e-mail.
No entanto, neste caso, o Gmail não sinalizou a tentativa de phishing como spam. A linguagem da fatura e do e-mail foi tão bem escrita e formatada que é muito provável que a IA tenha sido usada para imitar a aparência de uma dessas faturas do Stripe para escapar do Gmail e dos meus filtros humanos. E como não compro criptomoeda, não sei como é uma fatura “real”.
Também: O que saber sobre o desastre de perda de dados da SanDisk/Western Digital
Agora, não há uma maneira fácil de provar que a IA otimizou qualquer texto do e-mail ou dos PDFs, mas, devido ao acesso fácil e gratuito às ferramentas de IA durante o ano passado, é cada vez mais provável que elas tenham sido usadas em sua construção.
Este é um dos perigos da IA generativa. Essas ferramentas podem ser usadas para gerar texto e imagens para produzir comunicações fraudulentas que parecem perfeitas o suficiente para passar na inspeção.
O comprometimento do fator humano, estágio dois
O outro estágio dessa campanha de phishing de aparência muito convincente é que a fatura tem um número de suporte 888 gratuito instruindo você a ligar se não reconhecer a transação.
Além disso: os golpistas estão usando IA para se passar por seus entes queridos
Embora os números de telefone 800 e 888 sejam frequentemente falsificados para fins de telemarketing, eles também são usados por organizações legítimas para call centers porque a FCC rastreia sua emissão. No entanto, aprendi que os bandidos os estão usando para seus próprios call centers.
Número de telefone real do PayPal. Captura de tela de Jason Perlow/Strong The One
Como estava preocupado com o fato de meu e-mail ser usado para fazer transações financeiras, liguei para esse número, acreditando ser o próprio PayPal, e liguei para um call center movimentado na Índia, onde o representante sabia detalhes suficientes sobre mim para parecer assustadoramente autêntico.
Além disso: não estamos preparados para o impacto da IA generativa nas eleições
Ele me disse que alguns dispositivos em Ohio, China, Texas e Nova Jersey estavam tentando fazer compras criptográficas por meio deste serviço Stripe via Coinbase. Ainda assim, uma etapa final de bloqueio impediu que a transação fosse concluída. Ufa.
O Google ficará feliz em usar IA generativa para informar o número de telefone autêntico. Esperançosamente. Captura de tela de Jason Perlow/Strong The One
No entanto, para remover esses dispositivos do meu perfil do PayPal – e sinalizar minha conta, para que eu parasse de receber esses e-mails falsos – eu precisava enviar a ele códigos associados a e-mails anexados à minha conta da Amazon que ele enviaria para meu e-mail/ número de telefone.
Eu deveria ter acordado ali mesmo, mas eram 8 da manhã e meu primeiro café expresso não havia saturado totalmente minha corrente sanguínea.
Além disso: As melhores chaves de segurança agora: Especialista testado
Esses códigos são códigos de autenticação de dois fatores (2FA) que você usaria se perdesse o acesso à sua conta da Amazon, se tivesse o 2FA configurado – e nunca deve fornecê-los a ninguém.
Na verdade, fui burro o suficiente para enviar a esse cara o primeiro código 2FA e, então – assim que ele perguntou qual Mastercard eu estava usando, para que eles pudessem “sinalizá-lo” – meu cérebro de lagarto acordou; Desliguei o telefone e redefini imediatamente minhas senhas do PayPal e da Amazon.
Em seguida, encontrei o número de telefone real do PayPal — 1 (888) 221-1161 — e falei com seu departamento de fraude e segurança, que me disse que eu era uma vítima de phishing e que deveria encaminhar os e-mails para o departamento de abuso: phishing@paypal.com.
Além disso: a corrida do ouro da IA torna crítica a higiene básica da segurança dos dados
Ah, e aquele call center do PayPal era baseado na Índia e soava exatamente como o falso, com um número 888 de aparência igualmente legítima. Tenha cuidado, pessoal.
Você quase foi vítima de um ataque de phishing altamente polido? Fale de volta e deixe-me saber.
.
