O que é exatamente o ChatGPT?
O ChatGPT é um chatbot ou sistema de chat desenvolvido pelo laboratório estadunidense de pesquisas OpenAI. Trata-se de um modelo baseado em Inteligência Artificial (GPT-3) que permite aos usuários interagirem com este chatbot como se fosse uma pessoa real através de textos. Este sistema foi treinado com grandes quantidades de textos para responder perguntas ou fornecer informações. E apesar de apresentar erros, o sistema está melhorando sua capacidade de interagir automaticamente com as perguntas dos usuários através de um processo de treinamento contínuo. Entretanto, como qualquer tecnologia, ela também apresenta certos riscos em termos de cibersegurança, e é exatamente isto que vamos analisar nesta publicação.
Para entender melhor o que é o ChatGPT, fizemos algumas perguntas ao próprio sistema e ele nos respondeu da seguinte forma:
Resposta do ChatGPT.
Perguntamos como funciona o algoritmo do ChatGPT:
Resposta sobre o algoritmo usado pelo ChatGPT.
Nas imagens anteriores podemos ver que o ChatGPT não usa apenas uma forma amigável de comunicação, mas também uma linguagem acessível. Isto é o que torna esta tecnologia tão inovadora. Em outras palavras, a grande mudança introduzida por esse sistema é a forma como os usuários interagem com esta tecnologia, já que é acessível a qualquer tipo de usuário. Além disso, o ChatGPT pode ter diversos usos. Por exemplo, o sistema pode ser usado para a automação de processos em vários setores, tais como educação, finanças, saúde, atendimento ao cliente, etc.
Entretanto, é importante ter em conta o que destacamos anteriormente, que, como qualquer tecnologia, ela também apresenta riscos de segurança. Para fazer uma analogia, assim como o modelo Ransomware as a Service (RaaS) permite que cibercriminosos com pouca experiência tenham acesso a um malware e só precisem se preocupar com a arquitetura dos e-mails de phishing com o qual pode tentar enganar suas vítimas, o ChatGPT também é um serviço disponível para qualquer pessoa com intenções criminosas.
Veja mais: Inteligência Artificial e Machine Learning: heróis ou vilões?
Como os cibercriminosos podem se beneficiar com o ChatGPT
Ao perguntarmos ao ChatGPT como esta tecnologia pode ser utilizada por cibercriminosos, o sistema nos deu a seguinte resposta:
Pergunta enviada para o ChatGPT.
Veja alguns exemplos:
1. Criação de fake news
Vamos supor que queremos criar uma fake news para que seja veiculada através da Internet. O que podemos fazer com isso? Ao apelarmos para a criatividade e entrarmos nos parâmetros correspondentes em torno do que queremos, isto se torna perfeitamente possível com esta plataforma.
Por exemplo, pedimos ao ChatGPT que o sistema produza uma notícia que fale que o Elon Musk surpreendentemente comprou a empresa Meta e este foi o resultado:
Exemplo de fake news criada através do ChatGPT.
2. Ataques de phishing
É verdade que está cada vez mais difícil identificar e-mails de phishing. Eles estão se tornando mais direcionados e, portanto, muito mais persuasivos. Há alguns anos, era muito mais fácil detectá-los, pois os textos desses e-mails maliciosos era simplesmente absurdo, pois contavam até mesmo com erros ortográficos. Agora, perguntamos ao ChatGPT se o sistema poderia escrever e-mails maliciosos de uma maneira muito mais fácil. E esta foi a resposta do sistema:
Teste para a criação de um phishing.
Como podemos ver na imagem acima, a plataforma nos alertou corretamente que não é uma boa ideia realizar este tipo de atividade. Entretanto, decidimos tentar novamente, e fizemos a mesma pergunta, mas de uma maneira diferente:
Criação de e-mail de phishing através do ChatGPT.
Como podemos ver, a ferramenta pode ser perfeitamente utilizada por cibercriminosos para criar e-mails persuasivos automatizados e com a intenção de enganar as pessoas a compartilharem seus dados de acesso a contas.
Mas o processo não terminou aí, pois decidimos fazer mais um teste e pedimos à ferramenta para produzir um e-mail de phishing notificando sobre a suspensão de uma conta no Instagram. Este foi o resultado:
Criação de e-mail de phishing através do ChatGPT.
É um fato que o ChatGPT pode ser utilizado para criar e-mails de phishing altamente convincentes e personalizados para enganar as vítimas e obter informações sensíveis de forma automatizada.
3. Roubo de identidade
Cibercriminosos podem utilizar o ChatGPT para criar golpes que se fazem passar por instituições conhecidas e de confiança, como um banco ou uma empresa, a fim de obter informações privadas e financeiras de usuários. Eles podem até mesmo se fazer passar por celebridades em redes sociais.
Texto de um tweet em nome de outra pessoa produzido pelo ChatGPT.
4. Desenvolvimento de Malwares
Esta plataforma pode ser útil para o desenvolvimento de softwares, pois é possível usá-la como uma ferramenta para a geração de códigos em várias linguagens de programação. A questão é que o malware também é um software, mas para fins maliciosos.
Fizemos um teste e pedimos ao ChatGPT para escrever um programa em .NET que chame o Powershell e faça o download de um payload.
Solicitação para escrever um código com o objetivo de realizar uma ação maliciosa.
Como pode ser visto, o ChatGPT adverte “em laranja” sobre os riscos da solicitação e aponta que ela pode até mesmo estar violando a política de conteúdo do serviço. No entanto, o código foi gerado de qualquer forma, e até fornece uma descrição detalhada de como ele funciona.
5. Automação de processos ofensivos
Ao realizar ataques direcionados, os cibercriminosos normalmente realizam um processo de reconhecimento. Assim como nos processos de pentesting, isto envolve certas tarefas que tendem a ser repetitivas. Entretanto, nos últimos anos, surgiram ferramentas que tornam possível encurtar o tempo necessário para estas ações. Tendo em conta tudo isso, vem a seguinte pergunta: o ChatGPT pode ser utilizado para estas atividades?
Nós nos colocamos no papel de um cibercriminoso que quer entrar em um servidor LDAP para ver quais usuários estão em uma empresa e testamos o Chat GPT como uma ferramenta para automatizar este processo. Desta forma, pedimos ao sistema que criasse um script.
Solicitação de um script de shell reversa na linguagem Perl.
A plataforma nos fornece um código Python para enumerar os usuários de um Active Directory usando o protocolo LDAP. Aqueles que trabalham em segurança sabem que ao executar certos processos é aconselhável ter um Cheat Sheet ágil para executar certos comandos. Se, por exemplo, estou na fase de acesso, como cibercriminoso, e preciso de um script para abrir uma Shell reversa, posso simplesmente usar o ChatGPT para obter esta informação:
Exemplo de um script criado através do ChatGPT de Shell reversa.
6. Chats maliciosos
O ChatGPT tem uma API que lhe permite alimentar outras conversas. Devido a sua interface amigável, o sistema pode ser usado para muitas ações benéficas, mas infelizmente também pode ser utilizado para atividades maliciosas. Por exemplo, para enganar as pessoas através de golpes bastante persuasivos.
Conclusão
Tecnologias como o ChatGPT surgiram para revolucionar e automatizar vários processos. O mais notável sobre estas tecnologias provavelmente é que elas estão mudando a maneira como interagimos com os computadores, tornando o acesso ao conhecimento mais democrático.
Com o ChatGPT continuaremos vendo o avanço da democratização e acessibilidade do conhecimento - mas isso não está permitindo também a democratização do cibercrime? Pesquisas já demonstraram que os cibercriminosos já começaram a utilizar o ChatGPT como uma ferramenta para desenvolver códigos maliciosos e realizar outros tipos de ações criminosas. É claro que devemos acompanhar de perto esta questão para ver como ela evolui e analisar o que a evolução da Inteligência Artificial e, especialmente, do Machine Learning tem reservado para todos nós.
