ChatGPT: 6 formas em que a ferramenta pode ser utilizada por cibercriminosos
10 de fevereiro de 2023A ESET, empresa líder em detecção proativa de ameaças, explica as maneiras pelas quais essa tecnologia pode ser usada para fins maliciosos
O ChatGPT é um chatbot desenvolvido pela OpenAI, baseado em Inteligência Artificial, que permite interação entre pessoas e máquinas
O ChatGPT é um chatbot desenvolvido pela OpenAI, baseado em Inteligência Artificial (GPT-3), que permite interação entre pessoas e máquinas, por meio do compartilhamento de informações, respostas automatizadas para perguntas e, até mesmo, execução de atividades textuais, como a criação de poemas e canções, por exemplo.
Embora ainda apresente erros, sua capacidade de interagir automaticamente em resposta às dúvidas das pessoas melhora por meio do processo contínuo de treinamento.
No entanto, a ESET, empresa líder em detecção proativa de ameaças, adverte que como qualquer tecnologia, este chatbot também apresenta riscos em termos de segurança cibernética.
“Tecnologias como o ChatGPT vieram para revolucionar e automatizar diversos processos. A coisa mais notável sobre essas tecnologias é provavelmente que elas estão mudando a forma como interagimos com os computadores. Com o ChatGPT podemos ver o progresso da democratização e acessibilidade do conhecimento. Apesar disso, pesquisas mostram que os cibercriminosos já começaram a usar o ChatGPT como uma ferramenta para desenvolver códigos maliciosos e realizar outros tipos de ações fraudulentas. É claro que devemos acompanhar este assunto de perto para ver como ele evolui e analisar o que a evolução da Inteligência Artificial e especialmente o Machine Learning nos reserva”, explica Sol González, Pesquisador de Segurança de Computadores da ESET da América Latina.
Para entender melhor o que é ChatGPT, a equipe da ESET perguntou ao próprio sistema:
Além disso, foi questionado sobre como seu algoritmo funciona:
O ChatGPT comunica de forma amigável e utiliza uma linguagem acessível. É isso que torna essa tecnologia disruptiva. Além disso, o mecanismo permite uso constante. Por exemplo, para automação de processos em diversos setores, como educação, finanças, saúde, atendimento ao cliente, etc.
“No entanto, é importante ter em mente que, como toda tecnologia, ela também apresenta seus riscos de segurança. Fazendo uma analogia, assim como o modelo Ransomware as a Service (RaaS) permite que criminosos com menos conhecimento tenham acesso a malware e só tenham que se preocupar em projetar e-mails de phishing para tentar enganar as vítimas, o ChatGPT também é um serviço disponível para qualquer pessoa que podem ser usados para facilitar certas tarefas para cibercriminosos”, acrescenta o pesquisador da ESET.
A ESET analisa 6 maneiras pelas quais os cibercriminosos podem se beneficiar do ChatGPT:
– Geração de fake news: Caso o intuito seja gerar uma fake news que seja distribuída pela internet, a tecnologia poderia inserir parâmetros correspondentes em torno do que pretende.
No exemplo abaixo, a equipe da ESET solicitou ao chatbot a criação um artigo onde Elon Musk surpreendentemente compra a empresa Meta:
– Ataques de phishing: É fato que está cada vez mais difícil identificar e-mails de phishing. Eles estão se tornando mais direcionados e, portanto, muito mais persuasivos.
Há alguns anos, a escrita de e-mails maliciosos era muitas vezes absurda, mesmo com erros de ortografia. O ChatGPT foi questionado pela equipe da ESET se poderia ajudar a compor e-mails maliciosos:
Nesse caso, a plataforma alertou corretamente que não é bom realizar esse tipo de atividade. Porém, com uma nova tentativa a consulta foi realizada, porém de forma diferente:
“Como visto, a ferramenta pode claramente ser usada por agentes mal-intencionados para gerar e-mails persuasivos de maneira automatizada com a intenção de induzir as pessoas a entregar suas credenciais. É fato que através do ChatGPT é possível criar e-mails de phishing personalizados e muito convincentes para enganar as vítimas e obter informações confidenciais de forma automatizada”, afirma Gonzalez, da ESET.
– Roubo de identidade: os cibercriminosos podem usar o ChatGPT para criar golpes que se passam por uma instituição confiável, como um banco ou uma empresa, com o objetivo de obter informações privadas e financeiras de indivíduos. Eles podem até escrever nas redes como se fossem celebridades.
– Desenvolvimento de Malware: Esta plataforma poderá ser utilizada para o desenvolvimento de software através de sua ferramenta de geração de código em diversas linguagens de programação. Malware também é software, mas para fins maliciosos.
A equipe de pesquisa da ESET fez um teste e pediu ao ChatGPT para escrever um programa. NET que chamasse o Powershell e baixasse a carga útil.
Em resposta, o ChatGPT alerta para os riscos do pedido e aponta que pode até estar desrespeitando a política de conteúdo do serviço. No entanto, o código foi gerado de qualquer maneira, fornecendo até uma descrição detalhada de como funciona.
– Automação de processos ofensivos: Ao realizar ataques direcionados, os cibercriminosos costumam realizar um processo de reconhecimento que inclui a realização de determinadas tarefas que tendem a ser repetitivas.
No entanto, nos últimos anos, têm surgido ferramentas que permitem encurtar os tempos destas tarefas. Para verificar se o ChatGPT poderia ser usado para essas atividades, a ESET fingiu ser um invasor que desejava entrar em um servidor LDAP para ver quais usuários estão em uma empresa.
A plataforma fornecia código Python para enumerar usuários de um Active Directory usando o protocolo LDAP. Para quem trabalha com segurança, sabe que é aconselhável ter um Cheat Sheet ágil para executar determinados comandos.
Se, por exemplo, você estiver na fase de acesso, como um cibercriminoso, você precisa de um script para abrir um shell reverso e usando o ChatGPT você pode facilmente obter esta informação:
– Chats maliciosos: o ChatGPT possui uma API que permite alimentar outros chats. Devido à sua interface amigável, pode ser usado para muitos usos benéficos, mas infelizmente também pode ser usado para usos maliciosos. Por exemplo, para enganar as pessoas e realizar golpes muito persuasivos.
Para saber mais sobre segurança de computadores, visite o portal de notícias da ESET: Link
Por outro lado, a ESET convida você a conhecer o Conexão Segura, seu podcast para saber o que está acontecendo no mundo da cibersegurança. Para ouvi-lo, acesse.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa.
A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite nosso site ou siga-nos no LinkedIn, Facebook e Twitter.
ESET detecta novo trojan bancário direcionado a usuários no Brasil
ESET descobre ransomware dirigido à Ucrânia
ESET alerta sobre ameaças dirigidas aos navegadores de internet
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!