Hackers recorrem aos LLMs para criar golpes mais convincentes

Tecnologia
Comex
Uma ilustração em tom roxo e vinho que representa um ataque de phishing. No centro, um notebook exibe em sua tela escura um formulário de login falso flutuando, com campos "USER NAME" e "PASSWORD", e um botão "LOGIN", todos com o ícone de uma pessoa roxa no topo. Este formulário está pendurado por um anzol, como em uma pescaria. Outros formulários semelhantes, desfocados, aparecem pendurados no lado esquerdo e direito, fora da tela do notebook. Ao fundo, números "0" e "1" que remetem a código binário são visíveis, e no canto inferior direito, a marca d'água "tecnoblog".
IA generativa é a nova ferramenta para criar páginas falsas (ilustração: Vitor Pádua/Tecnoblog)
Resumo
  • Hackers estão usando LLMs para criar páginas de phishing em tempo real no navegador.
  • A técnica permite criar scripts únicos para cada vítima, adaptando o conteúdo do golpe.
  • Os cibercriminosos conseguem escapar de análises de rede utilizando domínios confiáveis, transformando-os em interfaces de roubo de credenciais.

Pesquisadores da Unit 42, divisão de inteligência em ameaças da Palo Alto Networks, identificaram uma evolução crítica nos ataques de engenharia social: o uso de modelos de linguagem em grande escala (LLMs) para criar páginas de phishing que montam o código malicioso no navegador da vítima em tempo real.

O método permite que uma página aparentemente inofensiva se transforme em uma interface de roubo de credenciais personalizada. Ao utilizar domínios confiáveis de gigantes da tecnologia para entregar o conteúdo malicioso, os golpistas conseguem escapar até de ferramentas de análise de rede.

Inteligência artificial gera o código na hora

Em um cenário comum, o usuário clica em um link que o leva a um site hospedado em um domínio suspeito com código malicioso. Na nova abordagem, a vítima visita uma URL que não possui nada malicioso visível. Uma vez que a página é carregada, ela executa scripts que fazem solicitações de API para serviços de IA legítimos e populares.

Utilizando técnicas de engenharia de prompt, os cibercriminosos conseguem enganar os filtros de segurança dos LLMs para retornarem trechos de código JavaScript. Esse código é então montado e executado instantaneamente no navegador do usuário, criando a página de phishing.

A abordagem garante vantagens aos criminosos. Primeiro, cada vítima recebe uma versão diferente do script, impedindo a detecção por assinaturas digitais. Além disso, o tráfego de rede parece legítimo, já que os dados são trocados com infraestruturas de IA (como as do Google ou OpenAI) que raramente são bloqueadas em redes corporativas.

Segundo, o conteúdo pode ser adaptado com base na localização ou endereço de e-mail da vítima, tornando o golpe muito mais convincente.

O phishing captura suas vítimas por pressão psicológica (Imagem: Clint Patterson/Unsplash)
Ameaça gera variantes de código para cada vítima, dificultando a detecção (imagem: Clint Patterson/Unsplash)

Como se proteger das ameaças geradas por IA?

A detecção ainda é possível via rastreadores aprimorados baseados em navegador, que são capazes de monitorar a execução de scripts em tempo real. Essa solução, no entanto, é voltada às empresas e administradores de TI.

Para o usuário comum, valem as recomendações para se proteger de golpes de phishing.

Hackers recorrem aos LLMs para criar golpes mais convincentes

Veja mais:

O que é ChatGPT Codex? Veja como funciona o agente de IA para programação

Comex

Sony e TCL fazem pacto para a venda de TVs Bravia

Comex

Magalu Cloud compra empresa de IA e aposta em ferramentas de “vibe coding”

Comex