O ChatGPT é capaz de criar e-mails convincentes simulando golpes de phishing em apenas cinco minutos. O feito foi descoberto em um estudo feito pela IBM X-Force, setor de segurança da empresa tecnologia.
A companhia realizou um teste com funcionários de uma empresa do ramo da saúde. Metade deles recebeu o e-mail gerado pelo chatbot de inteligência artificial. Já a outra metade, o conteúdo criado por humanos, totalizando, assim, mais de 1600 pessoas.
A versão criada pela equipe da IBM teve uma taxa de cliques de 14%, contra 11% daquela gerada por IA. A diferença de apenas 3% se torna ainda mais relevante quando se considera o tempo que o serviço levou para produzir o texto: apenas cinco minutos.
Para desenvolver um golpe semelhante um ser humano levaria cerca de 16 horas, informou Stephanie “Snow” Carruthers, Hacker-Chefe da IBM X-Force, no site Security Intelligence.
E-mail criado com apenas 5 comandos
A partir de apenas cinco comandos, o ChatGPT criou um e-mail simulando um golpe de phishing de forma convincente. Foi pedido que a mensagem priorizasse preocupações de profissionais da área da saúde e que o conteúdo passasse confiança e autoridade.
Também foi solicitado que usasse de técnicas de marketing, como personalização e call-to-action (chamada para ação, em livre tradução), e fosse assinado por um gerente interno de Recursos Humanos.
O resultado foi um falso golpe com um convite para os funcionários se inscreverem em um evento online que ajudaria no aperfeiçoamento profissional.
O texto tinha um tom empático e dizia que entendia que o tempo do funcionário é precioso. Mas também é persuasivo, afirmando que essa suposta oportunidade poderia ajudá-los a atingir um novo patamar na careira.
Já o falso e-mail de phishing criado pela equipe da IBM usou como estratégia simular uma pesquisa interna com cinco perguntas, que seria supostamente acessada ao clicar no link enviado.
Homem x IA
Nessa “batalha”, o homem ainda ganhou do computador. Mas foi por pouco. A estratégia humana teve um pouco mais de aceitação e 14% dos funcionários que receberam o e-mail clicaram no link enviado. Já o conteúdo do ChatGPT teve uma taxa de cliques de 11%.
Apesar de ter considerado os e-mails gerados por IA bastante persuasivos, Carruthers acredita que a versão humana enganou mais pessoas por detalhes. Entre eles, um texto mais direto, uso de um tema menos genérico e personalização, com o nome do destinatário na mensagem.
Os dois conteúdos, no entanto, levantaram suspeitas. E, mais uma vez, o chatbot foi derrotado. O e-mail foi denunciado por 59% dos funcionários que o receberam contra 51% daqueles que receberam o falso golpe gerado por humanos.
O que é phishing?
O phishing é um dos golpes online mais usados na internet, em que criminosos se passam por instituições legítimas para tentar roubar informações de suas vítimas. Entre elas, dados bancários, de login e senhas.
O contato dos golpistas pode ser por e-mail, ligação telefônica (chamado de vishing) ou mensagem de texto (conhecido por smishing).
O site Phishing.org indica algumas características de e-mails maliciosos que os usuários devem estar atentos para evitar cair nesses golpes. São elas:
- Promessas boas demais para serem verdade (promoções ou promessas de ganhar algo só ao clicar no link);
- Remetente desconhecido;
- Horário de envio incomum (de madrugada, por exemplo);
- Links suspeitos (ao passar o mouse sobre o link, o endereço exibido na parte inferior do navegador é diferente daquele exibido no corpo do e-mail);
- Mensagens com senso de urgência (se não clicar agora vai perder uma grande oportunidade, por exemplo).
- Outra dica comum é ficar atento a textos mal escritos e com erros gramaticais. No entanto, como o experimento da IBM mostrou, isso pode estar ficando no passado.
“É um mito que os e-mails de phishing estejam repletos de erros gramaticais e ortográficos. Na verdade, as tentativas de phishing baseadas em IA muitas vezes demonstram correção gramatical”, alertou Carruthers.
Veja também:
- Ameaça oculta em jogos: aplicativos de adware no Google Play atingem 2 milhões de instalações
- Arte Letal: A chocante verdade sobre os pigmentos tóxicos usados na Mona Lisa
- Desafio de segurança na IA: Google abre os cofres para recompensar pesquisadores
- Diabetes sem agulhas: IA detecta a doença pela voz dos pacientes
