Uma nova campanha de um site de phishing está ativa na web, aguardando usuários que estejam buscando a última versão do ChatGPT, o chatbot da OpenAI, que, à medida que ganha mais adeptos, também é utilizado por cibercriminosos para criar golpes com aplicativos, sites ou extensões falsas, que têm como único objetivo roubar informações sensíveis para cometer fraudes.

O ChatGPT, lançado em novembro de 2022, é uma ferramenta em que um robô baseado em um modelo de inteligência artificial permite ao usuário conversar quase como se estivesse interagindo com um humano e configurar – através de indicações ou prompts - as respostas que deseja receber, ajustando-as de acordo com o que busca, em extensão, tema, tom discursivo, etc.

Este ano, já tínhamos detectado o uso de sites falsos do ChatGPT e extensões maliciosas para navegadores, e até mesmo aplicativos que distribuem trojans para o roubo de informações bancárias.

O método de engano é sempre o mesmo: simular ser o site real e fazer com que os usuários caiam na armadilha, aproveitando a crescente popularidade do chatbot.

Anúncios do Google que patrocinam site falso

Neste caso, detectamos que, em uma busca geral no Google por "ChatGPT 4" ou "ChatGPT para Android", por exemplo, um dos primeiros resultados que podem aparecer, dando a impressão de ser original, leva a uma URL falsa: chatgptui.com, que, até o momento da publicação deste artigo, ainda está ativa.

ChatGPT

Ao acessar o link falso, o usuário desprevenido encontrará um site bastante bem construído que usa o logotipo correto, embora seja muito diferente do original.

home-sitio-falso-GPT

Também utiliza logotipos de empresas que utilizam o serviço real para dar um tom de autenticidade à página falsa.

Ao clicar em "começar", a página solicita dados de registro que nunca são validados: não é necessário que chegue um e-mail de confirmação e validação, algo que é exigido na maioria dos serviços legítimos.

Registo-email-sitio

Os cibercriminosos não estão interessados no seu e-mail, neste caso. O mais importante acontece mais adiante, quando a vítima acredita estar se inscrevendo na versão paga do ChatGPT: eles buscam obter os dados do seu cartão de crédito e realizar o pagamento pelo serviço falso.

Datos-tarjeta-falsoChatGPT

Dicas para não cair na armadilha

  • Tenha muito cuidado ao instalar extensões, aplicativos ou mesmo se inscrever em sites;
  • Verifique sempre a URL para a qual um anúncio, e-mail ou mensagem do Whatsapp o redireciona. Em caso de dúvida, digite o endereço por conta própria para garantir que não está acessando um site falso;
  • Nunca insira os dados do seu cartão de crédito ou informações bancárias sem se certificar de que o site possui as medidas de segurança corretas. Verifique também se não há selos falsos de "site confiável";
  • Mantenha seus dispositivos atualizados e use um software antimalware confiável;
  • Se suspeitar que instalou software malicioso, desconecte-se da internet e procure a ajuda de um especialista em segurança digital.