Eset apresenta seis formas em que ChatGPT pode ser utilizada por cibercriminosos
A Eset, empresa que atua em detecção proativa de ameaças, explica as maneiras pelas quais essa tecnologia pode ser usada para fins maliciosos
O ChatGPT é um chatbot desenvolvido pela OpenAI, baseado em Inteligência Artificial (GPT-3), que permite interação entre pessoas e máquinas, por meio do compartilhamento de informações, respostas automatizadas para perguntas e, até mesmo, execução de atividades textuais, como a criação de poemas e canções, por exemplo.
Embora ainda apresente erros, sua capacidade de interagir automaticamente em resposta às dúvidas das pessoas melhora por meio do processo contínuo de treinamento. No entanto, a Eset, empresa que atua em detecção proativa de ameaças, adverte que como qualquer tecnologia, este chatbot também apresenta riscos em termos de segurança cibernética.
“Tecnologias como o ChatGPT vieram para revolucionar e automatizar diversos processos. A coisa mais notável sobre essas tecnologias é provavelmente que elas estão mudando a forma como interagimos com os computadores. Com o ChatGPT podemos ver o progresso da democratização e acessibilidade do conhecimento. Apesar disso, pesquisas mostram que os cibercriminosos já começaram a usar o ChatGPT como uma ferramenta para desenvolver códigos maliciosos e realizar outros tipos de ações fraudulentas. É claro que devemos acompanhar este assunto de perto para ver como ele evolui e analisar o que a evolução da Inteligência Artificial e especialmente o Machine Learning nos reserva”, explica Sol González, Pesquisador de Segurança de Computadores da Eset da América Latina.
Para entender melhor o que é ChatGPT, a equipe da Eset perguntou ao próprio sistema:
A resposta do ChatGPT
Além disso, foi questionado sobre como seu algoritmo funciona:
Resposta sobre o algoritmo que o ChatGPT utiliza
O ChatGPT comunica de forma amigável e utiliza uma linguagem acessível. É isso que torna essa tecnologia disruptiva. Além disso, o mecanismo permite uso constante. Por exemplo, para automação de processos em diversos setores, como educação, finanças, saúde, atendimento ao cliente, etc. “No entanto, é importante ter em mente que, como toda tecnologia, ela também apresenta seus riscos de segurança. Fazendo uma analogia, assim como o modelo Ransomware as a Service (RaaS) permite que criminosos com menos conhecimento tenham acesso a malware e só tenham que se preocupar em projetar e-mails de phishing para tentar enganar as vítimas, o ChatGPT também é um serviço disponível para qualquer pessoa que podem ser usados para facilitar certas tarefas para cibercriminosos”, acrescenta o pesquisador da Eset.
A Eset analisa seis maneiras pelas quais os cibercriminosos podem se beneficiar do ChatGPT:
Geração de fake news:
Caso o intuito seja gerar uma fake news que seja distribuída pela internet, a tecnologia poderia inserir parâmetros correspondentes em torno do que pretende. No exemplo abaixo, a equipe da Eset solicitou ao chatbot a criação um artigo onde Elon Musk surpreendentemente compra a empresa Meta:
Exemplo de fake news gerada pelo ChatGPT
Ataques de phishing:
É fato que está cada vez mais difícil identificar e-mails de phishing. Eles estão se tornando mais direcionados e, portanto, muito mais persuasivos. Há alguns anos, a escrita de e-mails maliciosos era muitas vezes absurda, mesmo com erros de ortografia. O ChatGPT foi questionado pela equipe da Eset se poderia ajudar a compor e-mails maliciosos:
Prova de conceito — Geração de e-mail de phishing com ChatGPT
Nesse caso, a plataforma alertou corretamente que não é bom realizar esse tipo de atividade. Porém, com uma nova tentativa a consulta foi realizada, porém de forma diferente:
Prova de conceito — Geração de e-mail de phishing com ChatGPT
“Como visto, a ferramenta pode claramente ser usada por agentes mal-intencionados para gerar e-mails persuasivos de maneira automatizada com a intenção de induzir as pessoas a entregar suas credenciais. É fato que através do ChatGPT é possível criar e-mails de phishing personalizados e muito convincentes para enganar as vítimas e obter informações confidenciais de forma automatizada”, afirma Gonzalez, da Eset.
Roubo de identidade:
Os cibercriminosos podem usar o ChatGPT para criar golpes que se passam por uma instituição confiável, como um banco ou uma empresa, com o objetivo de obter informações privadas e financeiras de indivíduos. Eles podem até escrever nas redes como se fossem celebridades.
Escrevendo um tweet em nome de outra pessoa com ChatGPT
Escrevendo um e-mail como se fosse um conhecido aplicativo com ChatGPT
Desenvolvimento de Malware:
Esta plataforma poderá ser utilizada para o desenvolvimento de software através de sua ferramenta de geração de código em diversas linguagens de programação. Malware também é software, mas para fins maliciosos. A equipe de pesquisa da Eset fez um teste e pediu ao ChatGPT para escrever um programa. NET que chamasse o Powershell e baixasse a carga útil.
Código para executar uma ação maliciosa com ChatGPT
Em resposta, o ChatGPT alerta para os riscos do pedido e aponta que pode até estar desrespeitando a política de conteúdo do serviço. No entanto, o código foi gerado de qualquer maneira, fornecendo até uma descrição detalhada de como funciona.
Automação de processos ofensivos:
Ao realizar ataques direcionados, os cibercriminosos costumam realizar um processo de reconhecimento que inclui a realização de determinadas tarefas que tendem a ser repetitivas. No entanto, nos últimos anos, têm surgido ferramentas que permitem encurtar os tempos destas tarefas. Para verificar se o ChatGPT poderia ser usado para essas atividades, a Eset fingiu ser um invasor que desejava entrar em um servidor LDAP para ver quais usuários estão em uma empresa.
Solicitação de script para ChatGPT para enumerar os usuários de um AC
A plataforma fornecia código Python para enumerar usuários de um Active Directory usando o protocolo LDAP. Para quem trabalha com segurança, sabe que é aconselhável ter um Cheat Sheet ágil para executar determinados comandos. Se, por exemplo, você estiver na fase de acesso, como um cibercriminoso, você precisa de um script para abrir um shell reverso e usando o ChatGPT você pode facilmente obter esta informação:
ChatGPT — Solicitação de script de shell reverso em linguagem Perl
Exemplo de script gerado pelo ChatGPT do shell reverso
Chats maliciosos:
O ChatGPT possui uma API que permite alimentar outros chats. Devido à sua interface amigável, pode ser usado para muitos usos benéficos, mas infelizmente também pode ser usado para usos maliciosos. Por exemplo, para enganar as pessoas e realizar golpes muito persuasivos.
A Eset convida você a conhecer o Conexão Segura, seu podcast para saber o que está acontecendo no mundo da cibersegurança.
Link do artigo original: https://inforchannel.com.br/2023/02/11/eset-apresenta-seis-formas-em-que-chatgpt-pode-ser-utilizada-por-cibercriminosos/#:~:text=O%20ChatGPT%20%C3%A9%20um%20chatbot,poemas%20e%20can%C3%A7%C3%B5es%2C%20por%20exemplo