Este golpe de fatura criptografada gerado por IA quase me enganou, e eu sou um profissional de segurança

Este golpe de fatura criptografada quase me enganou, sou um profissional de segurança

Tirei uma pausa muito necessária da escrita no ENBLE nos últimos seis meses. Agora, estou de volta — e a primeira coisa que tenho que te dizer é que sou um idiota.

No tempo em que estive ausente, tive muita exposição à inteligência artificial generativa (IA) e aos grandes modelos de linguagem (LLMs) como profissional de criação de conteúdo, tanto como uma poderosa ferramenta para melhorar a produtividade quanto como um assistente criativo. Mas, como qualquer tecnologia, há um lado negro e um potencial para abuso.

Também: 6 maneiras prejudiciais pelas quais o ChatGPT pode ser usado por atores mal-intencionados

Na semana passada, quase certamente fui alvo de uma tentativa de phishing assistida por IA. Eu quase caí nela, mesmo tendo escrito sobre este assunto profissionalmente e ter trabalhado anteriormente como analista de ameaças em uma grande empresa de segurança da informação especializada em proteger empresas contra ataques de phishing.

Deveria ter sabido melhor? Com certeza.

Mas, como seres humanos, somos tão bons quanto o nosso treinamento para reconhecer o golpe, e parte dessa capacidade é ser capaz de diferenciar o falso do real e treinar o cérebro ancestral para nos alertar quando algo parece errado.

Também: A IA generativa traz novos riscos para todos. Veja como você pode se manter seguro

No entanto, se algo parece suficientemente autêntico, mesmo alguém com muita experiência pode acabar fazendo algo tolo. E essa pessoa fui eu.

Como fui vítima de phishing usando IA

Nas últimas semanas, recebi e-mails que se assemelham muito a faturas da Stripe, um processador de pagamentos frequentemente usado para transações com criptomoedas. O e-mail é uma mensagem formatada em HTML que parece muito autêntica e inclui até anexos em PDF que parecem faturas de compras de criptomoedas através da Coinbase.

E-mail phishing se passando por uma fatura do PayPal.

PDF anexado com pagamento falso da Coinbase via PayPal, com um convincente número de suporte ao cliente 888.

Estou acostumado a ver e-mails de phishing que são muito menos convincentes porque possuem erros de formatação, redação e ortografia facilmente detectáveis. Até mesmo os campos de assunto dos e-mails às vezes parecem serem incompreensíveis — não são comunicações oficiais de um fornecedor autêntico ou provedor de serviços.

Também: As melhores VPNs para viagens agora mesmo: testadas e revisadas por especialistas

Além disso, as tentativas de phishing com as quais estou acostumado contêm links que apontam para sites falsos de bancos ou fornecedores com URLs misteriosos, onde você é solicitado a inserir suas credenciais e acaba fornecendo senhas. Sempre que recebo esses tipos de e-mails de phishing, eles ativam meus alarmes e eu os denuncio.

Muitos deles são tão óbvios que nem mesmo chegam à minha caixa de entrada; eles vão direto para o spam. Também treinei meu cérebro para nunca clicar em um link, e não cliquei em nenhum dos links deste e-mail também.

No entanto, neste caso, o Gmail não marcou a tentativa de phishing como spam. A fatura e a linguagem do e-mail estavam tão bem escritas e formatadas que é muito provável que a IA tenha sido usada para imitar como uma dessas faturas da Stripe poderia parecer para evitar os filtros do Gmail e os filtros humanos. E como não compro criptomoedas, não sei como uma fatura “real” se parece.

Também: O que saber sobre o desastre de perda de dados da SanDisk/Western Digital

Agora, não há uma maneira fácil de provar que a IA otimizou algum texto do e-mail ou dos PDFs, mas dada a fácil e livre acesso às ferramentas de IA durante o último ano, é cada vez mais provável que tenham sido usadas em sua construção.

Este é um dos perigos da IA generativa. Essas ferramentas podem ser usadas para gerar texto e imagens a fim de produzir comunicações fraudulentas que parecem impecáveis o suficiente para passar pela inspeção.

O comprometimento do fator humano, estágio dois

A outra etapa desta campanha de phishing muito convincente é que a fatura possui um número de suporte gratuito 888 instruindo você a ligar caso não reconheça a transação.

Também: Golpistas estão usando IA para se passar por seus entes queridos

Embora os números de telefone 800 e 888 sejam frequentemente falsificados para fins de telemarketing, eles também são usados por organizações legítimas para centros de atendimento, pois a FCC rastreia sua emissão. No entanto, descobri que os bandidos estão usando-os para seus próprios centros de atendimento.

O número de telefone real do PayPal.

Por estar preocupado com o uso do meu e-mail para realizar transações financeiras, liguei para esse número, acreditando ser o próprio PayPal, e fui conectado a um centro de atendimento ocupado na Índia, onde o representante sabia detalhes suficientes sobre mim para parecer assustadoramente autêntico.

Também: Não estamos prontos para o impacto da IA generativa nas eleições

Ele me disse que alguns dispositivos em Ohio, China, Texas e New Jersey estavam tentando fazer compras de criptomoedas por meio desse serviço Stripe via Coinbase. No entanto, uma etapa final de bloqueio impediu que a transação fosse concluída. Ufa.

O Google terá prazer em usar IA generativa para informar o número de telefone autêntico. Esperançosamente.

No entanto, para remover esses dispositivos do meu perfil do PayPal – e para sinalizar minha conta, para que eu pare de receber esses e-mails falsos – eu precisava enviar a ele códigos associados a e-mails vinculados à minha conta da Amazon, que ele enviaria para meu e-mail/número de telefone.

Eu deveria ter acordado naquele momento, mas eram 8h e minha primeira bebida de café espresso ainda não tinha saturado completamente meu sistema sanguíneo.

Também: As melhores chaves de segurança agora: Testadas por especialistas

Aqueles códigos são códigos de autenticação de dois fatores (2FA) que você usaria se perdesse o acesso à sua conta da Amazon, se tivesse o 2FA configurado – e você nunca deve entregá-los a ninguém.

Eu fui burro o suficiente para enviar para esse cara o primeiro código 2FA e então – exatamente quando ele perguntou qual Mastercard eu estava usando, para que eles pudessem “sinalizar” – meu cérebro de lagarto acordou; desliguei o telefone e imediatamente redefini as senhas do meu PayPal e Amazon.

Em seguida, encontrei o número de telefone real do PayPal – 1 (888) 221-1161 – e falei com o departamento de fraude e segurança deles, que me informou que eu era uma vítima de phishing e para encaminhar os e-mails para o departamento de abuso deles: [email protected].

Também: A corrida do ouro da IA torna a higiene básica de segurança de dados crítica

Ah, e aquele centro de atendimento do PayPal estava sediado na Índia e parecia exatamente como o falso, com um número 888 igualmente legítimo. Tenha cuidado, pessoas.

Você quase foi vítima de um ataque de phishing muito bem elaborado? Comente e me avise.