IA ‘do mal’ pode aplicar golpes e roubar seu dinheiro; saiba se proteger

O WormGPT é uma cópia maliciosa do ChatGPT. Ele funciona de maneira similar ao robô da OpenAI, mas seu principal objetivo é gerar e-mails de phishing para aplicar golpes bancários e roubar o dinheiro das vítimas. Segundo informações da empresa de cibersegurança SlashNext, o WormGPT também tem sido usado em ataques conhecidos como Business E-mail Compromise (comprometimento de e-mails comerciais, em tradução livre) — também chamados de BEC — que são ataques de malware direcionados às empresas.

Ainda de acordo com a companhia, o WormGPT tem se popularizado em sites e fóruns paralelos na internet, normalmente associados ao cibercrime. Por lá, o software é tido como um “irmão gêmeo do mal” do ChatGPT, e o seu único propósito é gerar conteúdo malicioso.

Especialistas em segurança da SlashNext testaram a ferramenta em um ambiente controlado para compreender melhor o potencial danoso do programa malicioso, e classificaram os resultados como “perturbadores”. Segundo a companhia, o WormGPT não foi apenas capaz de gerar um e-mail de phishing, mas foi estratégico e persuasivo o suficiente para atrair e envolver as vítimas no golpe.

De acordo com informações da NovaRed, outra empresa que atua em soluções de segurança digital, em ataques desse tipo, criminosos usam o WormGPT para se passar por uma pessoa de confiança e induzir as vítimas a enviar informações sigilosas, como dados pessoais de cartões de crédito e conteúdos confidenciais de empresas, por exemplo. Além disso, também influenciam as pessoas a clicarem em links suspeitos e anexos maliciosos que podem infectar o computador.

Outro ponto que preocupa os especialistas é que o uso da ferramenta maliciosa é bastante intuitivo e não requer conhecimento prévio em programação, o que pode acabar contribuindo para uma disseminação ainda maior e mais perigosa do golpe.

De acordo com Rafael Sampaio, gerente da NovaRed (companhai especialista em segurança cibernética), ainda não há casos relatados de golpes envolvendo o WormGPT no Brasil. No entanto, fraudes de phishing e BEC podem ser consideradas comuns no país, uma vez que se tratam de golpes relativamente simples. Por isso, é preciso cuidado. Como esse tipo de fraude ainda é bastante comum em e-mails e mensagens enviadas por apps como o WhatsApp, por exemplo, é recomendado ter atenção redobrada, evitando clicar em links suspeitos ou fazer o download de arquivos desconhecidos.

Além disso, segundo o gerente, apesar de não ser um programa amplamente conhecido no país e não se tratar de uma ameaça imediata, o uso de programas como o WormGPT levanta questionamentos sobre a facilidade de se automatizar e simplificar ainda mais a geração de códigos maliciosos, o que é bastante preocupante dado a facilidade de proliferação do malware.

Algumas medidas podem ser úteis para evitar cair em golpes de phishing e BEC, sejam eles gerados por softwares maliciosos como o WormGPT ou por pessoas mal intencionadas. Dentre elas, estão a importância de suspeitar de mensagens que sejam muito apelativas e que envolvam uma urgência desnecessária na resposta, por exemplo.

Além disso, usuários também devem se atentar a e-mails que ofereçam grandes recompensas sem que seja necessário executar ações que justifiquem o retorno prometido. Também é importante checar os destinatários dos e-mails recebidos para verificar se eles realmente pertencem à pessoa que se identificou no início da mensagem.

Vale dizer que usuários também podem usar essa dica para pesquisar por e-mails oficiais de companhias quando receberem mensagens que podem ser consideradas “estranhas”. Bancos, por exemplo, não costumam entrar em contato com clientes via e-mail para confirmar informações pessoais. Sendo assim, se você suspeitar que alguém está tentando se passar por uma instituição, pode pesquisar pelo e-mail da companhia no Google e descobrir se o endereço é autêntico.

Também é importante não clicar em links suspeitos ou baixar documentos anexados à mensagem sem se certificar, previamente, quem é o remetente do e-mail. Além disso, antes de clicar em links, você pode passar o mouse sobre ele para checar se a pré-visualização da página corresponde ao endereço desejado – caso contrário, não clique sobre o link em hipótese alguma.

Para finalizar, a dica de ouro: não passe informações pessoais ou senhas de banco por e-mail para ninguém, nem para pessoas de confiança. Mesmo que você conheça a pessoa, os seus dados podem ser comprometidos e acabar vazando na web se o seu e-mail ou o e-mail do destinatário das mensagens for atacado por cibercriminosos, por exemplo. Por isso, evite trocar informações sigilosas pelo WhatsApp ou e-mail.