O ChatGPT, o modelo de linguagem otimizado para diálogo e conversação, teve muita cobertura nos últimos dois meses. A maior parte da cobertura analisa os benefícios ou vantagens de usar o ChatGPT, por exemplo, para melhorar os resultados da pesquisa ou respostas, ajudar com tarefas de codificação, fornecer recomendações ou usar como uma ferramenta de tradução.
Alguns pesquisadores olham em outra direção. Eles estão interessados em descobrir como o ChatGPT pode ser potencialmente abusado por cibercriminosos. No mês passado, a Check Point Research publicou um relatório no qual a empresa destacou que atores maliciosos estavam usando o ChatGPT para escrever malware ou melhorar o malware.
Chester Wisniewski, cientista pesquisador principal da Sophos, revelou recentemente em uma entrevista à Tech Target que não estava preocupado com a tecnologia que o ChatGPT poderia fazer, mas com o lado social do abuso. Cyybercriminals poderiam usar o ChatGPT para criar e-mails de phishing que pareciam ter sido compostos por um falante nativo.
Uma das deficiências do phishing, mesmo hoje, é que muitos e-mails de phishing incluem erros ortográficos e gramaticais. Embora a qualidade geral dos e-mails de phishing tenha aumentado significativamente ao longo do tempo, muitos e-mails ainda têm indicadores que ajudam os usuários de computador a detectar e-mails legítimos.
O exemplo de Wisniewski é o uso do inglês britânico em e-mails de phishing nos Estados Unidos. O inglês britânico difere do inglês americano; algumas palavras são escritas de forma diferente, e os usuários americanos geralmente estão em guarda quando percebem isso em e-mails. Da mesma forma, os usuários do idioma inglês britânico notariam o inglês americano em e-mails de phishing.
Uso do ChatGPT em e-mails maliciosos
O ChatGPT e outros modelos de idiomas que têm recursos semelhantes podem ser usados para construir e-mails que correspondam ao idioma em uma determinada região ou país. Não precisa ir tão longe quanto pedir ao ChatGPT para copiar o estilo de um autor famoso, mas instruí-lo a escrever uma mensagem formal em inglês americano que informe os usuários sobre algo é suficiente. O e-mail criado parece ter sido escrito por um humano, e tudo o que resta a fazer é planejar as partes maliciosas no e-mail. Estes podem ser links para sites, mas também anexos ou solicitações para ligar para um número de telefone específico.
Wisniewski acredita que os humanos precisam de ajuda para detectar se uma mensagem de e-mail ou bate-papo foi escrita por um humano ou um bot. Ele sugere que a resposta poderia ser IA amigável, que está analisando o conteúdo e fornecendo aos usuários estimativas sobre a autenticidade do conteúdo. Os pesquisadores já estão trabalhando em modelos de IA que ajudam a determinar se o conteúdo foi escrito por outra IA.
Estes precisariam então ser integrados a soluções de segurança, por exemplo, programas antivírus, e exibir notificações aos usuários quando a análise sugerir que o conteúdo foi gerado por uma inteligência artificial e não por um ser humano.
O problema com essa abordagem é que também existem usos legítimos do ChatGPT. Organizações e usuários podem usar o ChatGPT para melhorar o texto, por exemplo, escrever uma melhor cópia do anúncio ou ajudá-los com certos parágrafos. Estes não são criados para enganar os usuários, mas a IA útil pode ter dificuldades em distinguir entre os dois casos de uso.
Palavras de Encerramento
O phishing continua sendo uma ameaça, e o surgimento do ChatGPT e de outros modelos de linguagem está adicionando uma nova ferramenta ao arsenal de cibercriminosos. A maioria dos usuários da Internet precisa estar ciente disso e concentrar sua atenção em outros aspectos dos e-mails. Embora a gramática e a ortografia possam ser excelentes, ainda há a necessidade de fazer com que os usuários abram anexos de e-mail ou cliquem em links ou executem outra ação.
Comentários