Os “mocinhos” já estão usando machine learning para automatizar tarefas de TI e de segurança cibernética; do outro lado, os atores maliciosos usam inteligência generativa para aprimorar seus golpes e fraudes, tornando-as mais eficientes e convincentes.
Se há algo que todo profissional de segurança cibernética sabe é que o cibercrime é ágil. Sempre atentos às tendências, os atores maliciosos aprimoram suas técnicas diariamente, tornando-se mais perigosos e organizados — o que, naturalmente, também exige que as estratégias de proteção da informação também sejam constantemente atualizadas para lidar com novos tipos de riscos.
Como exemplo, ao longo dos últimos anos, foi possível testemunhar o crescimento exponencial do modelo de negócios fraude como serviço (fraud-as-a-service ou FaaS), surfando na onda dos softwares como serviço (software-as-a-service ou SaaS). Em suma, os criminosos perceberam o quão lucrativo poderia ser a oferta de ferramentas por assinaturas para que outros golpistas criassem suas próprias fraudes personalizadas.
Trata-se de uma tendência preocupante, visto que, graças a tal mercado de “ferramentas maliciosas por locação”, até mesmo indivíduos mal-intencionados — porém sem qualquer conhecimento técnico para aplicar golpes — também consigam realizar atividades fraudulentas no campo cibernético. E, como exemplo disso, podemos citar uma ameaça que já é popular na deep web: o infame FraudGPT.
Fraude inteligente
Como seu nome sugere, o FraudGPT é uma adaptação maliciosa do Generative Pre-trained Transformer (GPT), o modelo de linguagem baseado em inteligência artificial desenvolvido pela OpenAI e que deu vida ao ChatGPT. Tal modelo é projetado para gerar texto de forma coerente e convincente, mas a sua versatilidade também o tornou uma ferramenta valiosa para criminosos cibernéticos. O FraudGPT usa algoritmos de machine learning para automatizar a criação de fraudes, páginas falsas e phishings convincentes.
Confira algumas de suas principais características:
- Geração de conteúdo convincente: a ferramenta maliciosa é capaz de gerar conteúdos que se assemelham a comunicações legítimas, como emails, mensagens de texto e páginas da web. Isso torna as mensagens de phishing quase indistinguíveis das originais e destrói alguns dos principais formas de identificar essas fraudes, como erros ortográficos;
- Personalização Inteligente: o algoritmo pode personalizar automaticamente as mensagens de acordo com as informações disponíveis sobre a vítima (spear phishing), aumentando a probabilidade de sucesso. Tais informações usadas para a personalização podem ser oriundas de outros vazamentos ou de data scrapping (ato de vasculhar perfis em redes sociais e outras plataformas em busca de dados públicos);
- Detecção de medidas de segurança: o FraudGPT é frequentemente atualizado para contornar medidas de segurança, como filtros de spam e detecção de phishing, inutilizando a maioria das soluções disponíveis no mercado de segurança de email.
Como se isso não fosse o suficiente, vale a pena ressaltar que a ferramenta é extremamente fácil de usar — o que, novamente, aumenta a quantidade de atores maliciosos que podem utilizá-la para criar um volume ainda maior de campanhas de phising e fraude.
Ferramentas baratas, proteções complexas
Com tudo isso em vista, podemos concluir que o cibercrime já encontrou uma forma lucrativa e eficaz de utilizar machine learning para criar e-mails de phishing mais convincentes, páginas falsas realistas, comunicações com foco em fraudes financeiras e disseminação de desinformação — neste último caso, com o objetivo de influenciar a opinião pública a respeito de algum assunto pertinente.
De acordo com pesquisadores que mergulharam na deep web para estudar esse novo modelo de negócio, o FraudGPT é razoavelmente acessível levando em conta os lucros que um criminoso é capaz de levantar com suas fraudes: as assinaturas começam em US$ 200 por mês e vão até a faixa do US$ 1,7 mil por ano. O “retorno sobre o investimento” é, inegavelmente, atraente para novos golpistas.
A ascensão da fraude como serviço com o uso de inteligência artificial é alarmante, mas também destaca a necessidade urgente de respostas eficazes. Isso inclui uma regulamentação internacional e operações conjuntas para combater esses serviços na deep web — já tivemos diversos exemplos de colaborações globais que foram capazes de fechar fóruns e comunidades que serviam de palco para tais negociações obscuras.
Todo mundo tem suas responsabilidades
Claro, educar o público sobre os perigos do phishing e da desinformação continua sendo algo crítico, tal como investimentos contínuos em processos e ferramentas de segurança cibernética avançada, incluindo detecção de anomalias e análises comportamentais, com o intuito de identificar ameaças com a mesma agilidade com a qual elas são criadas.
As organizações de I.A., como a OpenAI, também devem continuar a trabalhar em diretrizes éticas e medidas de segurança para evitar o uso indevido de suas tecnologias. Com tais esforços, fica mais fácil enfrentarmos tal tendência preocupante e sufocar o mercado de fraude como serviço.