Os cibercriminosos estão cada vez mais antenados aos lançamentos tecnológicos, com o intuito de aperfeiçoarem suas técnicas de ataques. O WormGPT, por exemplo, uma ferramenta baseada em black-hat, foi lançada recentemente por cibercriminosos e tem o potencial de realizar vários ataques de engenharia social, bem como Business Email Compromise (BEC). Esta ferramenta não tem limitações quanto ao seu uso e não tem limites.
IA generativa
O uso de IA generativa teve um alcance notável nos últimos tempos. Com o lançamento do ChatGPT em novembro de 2022, várias ferramentas de IA foram criadas e refinadas para diversos fins. No entanto, chega um momento em que uma nova IA foi lançada especificamente para Black Hats.
O comprometimento de e-mail comercial, comumente referido como CEO fraud ou whaling, ataca as empresas fazendo-se passar por executivos seniores ou parceiros confiáveis, como lembra o site GBHackers.
Ataques BEC revolucionados pelo WormGPT
Relatórios apontam que os agentes de ameaças têm usado o ChatGPT e outras ferramentas baseadas em IA para gerar e-mails maliciosos que parecem legítimos o suficiente para convencer um funcionário a fornecer informações confidenciais. Inclusive, em um fórum de discussões sobre cibercriminosos, há evidências de que os agentes de ameaças contam com o ChatGPT para redigir e-mails BEC. Mesmo hackers com baixa fluência em outros idiomas podem usar esses e-mails gerados por IA para conduzir tais ataques.
Outra discussão mencionou “Jailbreaks” para ferramentas como ChatGPT. Esses são prompts especialmente criados que podem fazer com que o ChatGPT forneça informações confidenciais além do escopo de seu uso. Pode até fornecer conteúdo impróprio ou gerar código prejudicial.
WormGPT
O GBHackers aponta que o WormGPT também foi encontrado em um fórum de discussão de criminosos cibernéticos, que foi especialmente projetado como uma alternativa blackhat a outros GPTs. Ele é projetado com modelos de linguagem GPTJ (Generative Pre-trained Transformer-J) com uma variedade de recursos e capacidades de formatação de código.
Em um experimento realizado com o WormGPT, onde foi solicitado a geração de um e-mail BEC para pressionar um gerente de conta por pagar uma fatura fraudulenta. Os resultados foram extremamente prejudiciais, pois geraram um e-mail convincente, sem erros gramaticais e persuasivo que convenceria qualquer funcionário.
A recomendação é que as organizações treinem seus funcionários sobre esses tipos de e-mails de phishing e tenham filtros de e-mail apropriados para prevenir tais ataques baseados em e-mail geradores de IA. Infelizmente, essa onda de ataques tende a crescer.