.
De tarefas relativamente simples, como redigir e-mails, a trabalhos mais complexos, incluindo escrever ensaios ou compilar código, o ChatGPT – a ferramenta de processamento de linguagem natural orientada por IA da OpenAI – tem gerado grande interesse desde o seu lançamento.
Não é de forma alguma perfeito, é claro – é conhecido por cometer erros e erros ao interpretar mal as informações com as quais está aprendendo, mas muitos o veem, e outras ferramentas de IA, como o futuro de como usaremos a Internet.
Também: O que é ChatGPT e por que isso importa Aqui está tudo o que você precisa saber
Os termos de serviço da OpenAI para ChatGPT proíbem especificamente a geração de malware, incluindo ransomware, keyloggers, vírus ou “outro software destinado a impor algum nível de dano”. Ele também proíbe tentativas de criar spam, bem como casos de uso voltados para crimes cibernéticos.
Mas, como acontece com qualquer tecnologia on-line inovadora, já existem pessoas que estão experimentando como podem explorar o ChatGPT para fins mais obscuros.
Após o lançamento, não demorou muito para os cibercriminosos postarem tópicos em fóruns clandestinos sobre como o ChatGPT poderia ser usado para ajudar a facilitar atividades cibernéticas maliciosas, como escrever e-mails de phishing ou ajudar a compilar malware.
E há preocupações de que os criminosos tentem usar o ChatGPT e outras ferramentas de IA, como o Google Bard, como parte de seus esforços. Embora essas ferramentas de IA não revolucionem os ataques cibernéticos, elas ainda podem ajudar os criminosos cibernéticos – mesmo inadvertidamente – a conduzir campanhas maliciosas com mais eficiência.
“Não acho, pelo menos no curto prazo, que o ChatGPT criará tipos de ataques completamente novos. O foco será tornar suas operações diárias mais econômicas”, diz Sergey Shykevich, grupo de inteligência de ameaças gerente da Check Point, uma empresa de segurança cibernética.
Os ataques de phishing são o componente mais comum de hackers maliciosos e campanhas de fraude. Independentemente de os invasores enviarem e-mails para distribuir malware, links de phishing ou serem usados para convencer a vítima a transferir dinheiro, o e-mail é a ferramenta-chave na coerção inicial.
Essa dependência de e-mail significa que as gangues precisam de um fluxo constante de conteúdo claro e utilizável. Em muitos casos – especialmente com phishing – o objetivo do invasor é persuadir um humano a fazer algo, como transferir dinheiro. Felizmente, muitas dessas tentativas de phishing são fáceis de identificar como spam no momento. Mas um redator automatizado eficiente pode tornar esses e-mails mais atraentes.
O cibercrime é uma indústria global, com criminosos em todos os tipos de países enviando e-mails de phishing para alvos em potencial em todo o mundo. Isso significa que o idioma pode ser uma barreira, especialmente para as campanhas mais sofisticadas de spear phishing, que dependem de as vítimas acreditarem que estão falando com um contato confiável – e é improvável que alguém acredite que está falando com um colega se os e-mails estiverem cheios. de erros ortográficos e gramaticais incomuns ou pontuação estranha.
Também: O futuro assustador da internet: como a tecnologia de amanhã representará ameaças ainda maiores à segurança cibernética
Mas se a IA for explorada corretamente, um chatbot pode ser usado para escrever texto para e-mails em qualquer idioma que o invasor desejar.
“A grande barreira para os cibercriminosos russos é o idioma – o inglês”, diz Shykevich. “Eles agora contratam graduados em estudos de inglês em faculdades russas para escrever e-mails de phishing e trabalhar em call centers – e eles têm que pagar por isso.”
Ele continua: “Algo como o ChatGPT pode economizar muito dinheiro na criação de uma variedade de mensagens de phishing diferentes. Isso pode simplesmente melhorar a vida deles. Acho que esse é o caminho que eles procurarão.”
Em teoria, existem proteções projetadas para evitar abusos. Por exemplo, o ChatGPT exige que os usuários registrem um endereço de e-mail e também um número de telefone para verificar o registro.
E embora o ChatGPT se recuse a escrever e-mails de phishing, é possível solicitar que ele crie modelos de e-mail para outras mensagens, que são comumente exploradas por invasores cibernéticos. Esse esforço pode incluir mensagens como reivindicar um bônus anual em oferta, uma importante atualização de software deve ser baixada e instalada ou um documento anexado precisa ser examinado com urgência.
Também: O e-mail é nossa maior ferramenta de produtividade. É por isso que o phishing é tão perigoso para todos
“Criar um e-mail para convencer alguém a clicar em um link para obter algo como um convite para conferência — é muito bom, e se você não é um falante nativo de inglês, isso parece muito bom”, diz Adam Meyers, vice-presidente sênior de inteligência na Crowdstrike, um provedor de segurança cibernética e inteligência de ameaças.
“Você pode criar um convite bem formulado e gramaticalmente correto que você não seria necessariamente capaz de fazer se não fosse um falante nativo de inglês.”
Mas abusar dessas ferramentas não é exclusivo apenas do e-mail; os criminosos podem usá-lo para ajudar a escrever scripts para qualquer plataforma online baseada em texto. Para invasores que executam golpes ou até mesmo grupos avançados de ameaças cibernéticas que tentam realizar campanhas de espionagem, essa pode ser uma ferramenta útil – especialmente para criar perfis sociais falsos para enganar as pessoas.
“Se você deseja gerar negócios plausíveis, fale bobagens para o LinkedIn para fazer parecer que você é um verdadeiro empresário tentando fazer conexões, o ChatGPT é ótimo para isso”, diz Kelly Shortridge, especialista em segurança cibernética e principal tecnóloga sênior de produtos da Cloud- provedor de computação Fastly.
Vários grupos de hackers tentam explorar o LinkedIn e outras plataformas de mídia social como ferramentas para conduzir campanhas de ciberespionagem. Mas criar perfis on-line falsos, mas com aparência legítima – e preenchê-los com postagens e mensagens – é um processo demorado.
Shortridge acha que os invasores podem usar ferramentas de IA, como o ChatGPT, para escrever conteúdo convincente e, ao mesmo tempo, ter o benefício de ser menos trabalhoso do que fazer o trabalho manualmente.
“Muitos desses tipos de campanhas de engenharia social exigem muito esforço porque você precisa configurar esses perfis”, diz ela, argumentando que as ferramentas de IA podem diminuir consideravelmente a barreira de entrada.
“Tenho certeza de que o ChatGPT poderia escrever postagens de liderança de pensamento muito convincentes”, diz ela.
A natureza da inovação tecnológica faz com que, sempre que algo novo surja, sempre haverá quem tente explorá-lo para fins maliciosos. E mesmo com os meios mais inovadores de tentar evitar abusos, a natureza sorrateira dos criminosos cibernéticos e fraudadores significa que eles provavelmente encontrarão meios de burlar as proteções.
“Não há como eliminar completamente o abuso a zero. Isso nunca aconteceu com nenhum sistema”, diz Shykevich, que espera que destacar possíveis problemas de segurança cibernética signifique mais discussões sobre como impedir que os chatbots de IA sejam explorados para fins errantes.
“É uma ótima tecnologia – mas, como sempre com novas tecnologias, há riscos e é importante discuti-los para estar ciente deles. E acho que quanto mais discutimos, mais provável é que seja OpenAI e empresas semelhantes invistam mais na redução do abuso”, ele sugere.
Há também uma vantagem para a segurança cibernética em chatbots de IA, como o ChatGPT. Eles são particularmente bons em lidar e entender o código, portanto, há potencial para usá-los para ajudar os defensores a entender o malware. Como eles também podem escrever código, é possível que, auxiliando os desenvolvedores em seus projetos, essas ferramentas ajudem a criar códigos melhores e mais seguros com mais rapidez, o que é bom para todos.
Como o principal analista da Forrester, Jeff Pollard, escreveu recentemente, o ChatGPT poderia fornecer uma redução massiva no tempo necessário para produzir relatórios de incidentes de segurança.
“Gerar isso mais rapidamente significa mais tempo fazendo as outras coisas – testar, avaliar, investigar e responder, o que ajuda a escalar as equipes de segurança”, observa ele, acrescentando que um bot pode sugerir as próximas ações recomendadas com base nos dados disponíveis.
“Se a orquestração, a automação e a resposta de segurança forem configuradas corretamente para acelerar a recuperação de artefatos, isso poderá acelerar a detecção e a resposta e ajudar [security operations center] analistas tomam melhores decisões”, diz ele.
Portanto, os chatbots podem tornar a vida mais difícil para alguns na segurança cibernética, mas também pode haver frestas de esperança.
A Strong The One contatou a OpenAI para comentar, mas não recebeu uma resposta. No entanto, o Strong The One perguntou ao ChatGPT quais regras ele possui para evitar que seja abusado por phishing – e recebemos o seguinte texto.
“É importante observar que, embora os modelos de linguagem de IA, como o ChatGPT, possam gerar texto semelhante a e-mails de phishing, eles não podem executar ações maliciosas por conta própria e exigem a intenção e as ações de um usuário para causar danos. os usuários devem ter cautela e bom senso ao usar a tecnologia de IA e estar vigilantes na proteção contra phishing e outras atividades maliciosas.”
MAIS SOBRE SEGURANÇA CIBERNÉTICA
.
