Cibercriminosos estão a usar a IA para ataques mais poderosos

Os cibercriminosos estão a recorrer cada vez mais aos grandes modelos de linguagem (LLMs) para criar conteúdos e utilizá-los em ataques de phishing e esquemas fraudulentos em grande escala.

À medida que os cibercriminosos tentam criar sites fraudulentos em grandes volumes, deixam frequentemente alguns sinais distintivos - como frases específicas de IA - que distinguem estes sites dos criados manualmente. Até agora, a maioria dos exemplos de phishing observados pela Kaspersky tem como alvo os utilizadores de carteiras de criptomoedas.

Os especialistas analisaram uma amostra de recursos, identificando as principais caraterísticas que ajudam a distinguir e a detetar casos em que a IA foi utilizada para gerar conteúdo ou até mesmo encontrar websites inteiramente construídos com base em phishing e scam.

Hacker deixam alguns vestígios de IA nos esquemas criados...

Um dos sinais proeminentes de texto gerado por LLM é a presença de isenções de responsabilidade e recusas de execução de comandos, incluindo frases como “Como um modelo de linguagem de IA...”. Por exemplo, duas páginas de phishing dirigidas a utilizadores da KuCoin contêm este tipo de texto.

Outro indicador distintivo da utilização de um modelo linguístico é a presença de orações concessivas, tais como: 'Embora eu não possa fazer exatamente o que quer, posso tentar algo semelhante.” Noutros exemplos, dirigidos a utilizadores do Gemini e do Exodus, o LLM recusa a disponibilização de instruções detalhadas de início de sessão.

Segundo o Diretor do Grupo de Desenvolvimento de Investigação da Kaspersky "com os LLMs, os atacantes podem automatizar a criação de dezenas ou mesmo centenas de páginas web de phishing e scam com conteúdo único e de alta qualidade. Anteriormente, isto exigia esforço manual, mas agora, através da IA os cibercriminosos podem gerar esse conteúdo automaticamente.

Os LLM podem ser utilizados para criar não só blocos de texto, mas também websites inteiros, deixando vestígios que aparecem tanto no próprio texto como em áreas como as tags: fragmentos de texto que descrevem o conteúdo de um website e que aparecem no seu código HTML.

Existem outros indicadores que provam a utilização da Inteligência Artificial na criação de websites fraudulentos. Alguns modelos, por exemplo, tendem a utilizar frases específicas como “delve”, “in the ever-evolving landscape” e “in the ever-changing world”. Embora estes termos não sejam considerados indicadores fortes de conteúdo gerado por IA, podem ser vistos como sinais.

Por norma, os textos gerados pelos LLMs contém frases como “de acordo com a minha última atualização em janeiro de 2023” e são frequentemente combinados com táticas que tornam a deteção de páginas de phishing mais difícil para as ferramentas de cibersegurança. Por exemplo, os atacantes podem utilizar símbolos Unicode não normalizados para ofuscar o texto e impedir a correspondência por sistemas de deteção baseados em regras.

O relatório completo, com exemplos e análises adicionais, está disponível em Securelist.com. Para se proteger contra o phishing, aqui ficam algumas recomendações:

• Verifique a ortografia das hiperligações. Por vezes, as mensagens de email e os websites parecem verdadeiros, mas tudo depende do conhecimento e preparação dos atacantes. Contudo, o mais provável é que as hiperligações estejam incorretas e contenham erros ortográficos, ou que o redirecionem para um local diferente.
• Introduza o endereço do website diretamente no navegador. Se receber um email com uma hiperligação, em vez de clicar nesse link hiperligação, passe o cursor sobre o mesmo e verificar se parece correta. Se parecer correto, procure a hiperligação por si próprio em vez de clicar nesse link. Os websites perigosos podem parecer idênticos aos autênticos.
• Opte por uma solução de segurança moderna, uma vez que esta fornece aos utilizadores funcionalidades de navegação segura, protegendo-os contra websites, transferências e extensões perigosas.