• Bloquei0
  • Posts
  • FraudGPT: quando a IA passa para o Lado Sombrio da Força (e como você pode se tornar o Jedi da história)

FraudGPT: quando a IA passa para o Lado Sombrio da Força (e como você pode se tornar o Jedi da história)

Author

Jorge G
7 de maio de 2025

Parece que o vilão sempre está um passo à frente.

Já assistiu a “Prenda-me se for capaz”? O filme inteiro é um agente do FBI perseguindo um rapaz de 18 anos que realizou golpes milionários. O engraçado é que você não quer que o rapaz seja pego, você fica torcendo para que ele continue mostrando do que ele é capaz e fugindo das autoridades.

Vamos voltar à realidade.

Faz algum tempo, os golpistas tinham que ser tão habilidosos e engenhosos como Leonardo DiCaprio nesse filme. Hoje, nem tanto. Táticas complexas e de grande escala são cada vez mais baratas de executar. E nessa história, nós não somos o criminoso criativo, nem o agente da polícia; somos as pessoas simples, vulneráveis, que nem sabem quais ameaças enfrentam. Mas isso muda hoje.

Vamos mergulhar em um desenvolvimento fascinante (e um pouco assustador) no mundo do cibercrime que combina duas palavras da moda que você provavelmente já ouviu mil vezes: dark web e IA.

História da semana: FraudGPT — IA para cibercriminosos (mais uma assinatura para os coitados 👿)

No plano de ação na seção "Segurança acima da média":

Estratégia para manter atualizados todos os dispositivos e programas que você usa.

Leia as notícias como um profissional de cibersegurança

Alguns termos que todo fã de segurança digital deve saber👇️👇️👇️ 

Dark web: parte da internet onde os usuários podem acessar de forma anônima conteúdos não indexados por mecanismos de busca comuns (como o Google ou Bing); é preciso usar navegadores especializados, como o Tor.

Tor: acrônimo de “The Onion Router”. Software livre e de código aberto (disponível para qualquer pessoa visualizar) que serve para navegar pela internet de forma anônima e segura numa rede de túneis virtuais que melhora a privacidade e segurança de quem o usa.

Tor envia o tráfego por três servidores aleatórios. As atividades realizadas nele seguem uma rota (“router”) em camadas, como as camadas da cebola (“onion”). Por isso o projeto se chama “The Onion Router” 🤓 

CVE: “Common Vulnerabilities and Exposures é um sistema padronizado para rastrear vulnerabilidades de segurança conhecidas.

Patches de segurança: atualizações que sistemas e softwares recebem para melhorar seu funcionamento e segurança.

Conheça o FraudGPT, o irmão gêmeo maligno do ChatGPT

A dark web — aquela parte oculta da internet acessível apenas por meio de navegadores especializados como o Tor — sempre foi um mercado para produtos e serviços questionáveis. Mas agora, há um novo produto fazendo ondas: o FraudGPT.

É uma ferramenta de IA especificamente projetada para ajudar cibercriminosos a criar e-mails de phishing mais convincentes, desenvolver malware e outras coisas do tipo. Criminosos podem comprar essa ferramenta em mercados da dark web por cerca de US$ 200 por mês, ou apenas US$ 1.700 por ano (um verdadeiro "negócio da China" para fraudadores aspirantes).

O que torna o FraudGPT particularmente preocupante é como ele reduz a barreira de entrada para o cibercrime. Anteriormente, criar campanhas de phishing convincentes ou programar malware exigia habilidades específicas. Agora, os criminosos podem simplesmente pedir para uma IA fazer o trabalho pesado.

E assim, entramos em uma nova era em que a IA não apenas escreve seu trabalho da faculdade — ela escreve o e-mail que tem o potencial de roubar credenciais bancárias.

cyber crime GIF by gifnews

O que está acontecendo? 🔍

Aqui é onde as coisas ficam ainda mais preocupantes. De acordo com relatórios recentes, houve um aumento massivo de 16,7% em escaneamentos automatizados de dispositivos e aplicativos conectados à internet; pode parecer pouca coisa, mas, no total, são 36.000 escaneamentos por segundo (um aumento de mais de 15% nesse volume é muita coisa). Esses escaneamentos automatizados estão procurando vulnerabilidades — fraquezas em software que podem ser exploradas.

Pense nesses scanners como ferramentas de arrombamento verificando cada porta e janela da sua casa digital, procurando uma que esteja destrancada. E com o surgimento de ferramentas como o FraudGPT, uma vez que encontram uma janela destrancada, invadir se torna muito mais fácil.

Com milhões de dispositivos conectados à internet, desde seu smartphone até sua geladeira inteligente, esses escaneamentos automatizados podem rapidamente identificar sistemas vulneráveis. E uma vez que uma vulnerabilidade é encontrada, ela pode ser explorada em larga escala.

Conheça o CVE: o herói anônimo da sua vida digital

Como seria bom se existisse um sistema padronizado para identificar e categorizar vulnerabilidades de cibersegurança conhecidas em softwares... 😅  

Quando pesquisadores de segurança ou usuários de softwares descobrem uma vulnerabilidade, eles podem relatá-la, e ela recebe um identificador CVE único. Então, quando alguém na comunidade de segurança da informação fala sobre uma CVE, normalmente está se referindo a uma vulnerabilidade conhecida.

As CVEs fazem parte dos portfólios de pesquisadores de segurança; quanto mais CVEs no seu nome, mais conhecido e respeitado você se torna como profissional de cibersegurança.

Os verdadeiros heróis são aqueles que conhecem as CVEs relevantes para seu trabalho e se esforçam para tornar conhecidos os pontos fracos dos nossos sistemas e, mais importante ainda, sugerir uma solução.

O programa CVE, gerenciado pela MITRE Corporation e financiado pelo governo dos EUA, ajuda desenvolvedores e usuários a se manterem informados sobre problemas de segurança em seus softwares. Este sistema permite que os fornecedores de software resolvam vulnerabilidades rapidamente, lançando patches e atualizações.

Quando você vê aquelas notificações irritantes de "atualização disponível" no seu celular ou computador, muitas vezes, elas incluem correções para vulnerabilidades identificadas pelo CVE. Ignorá-las é basicamente como saber que alguém poderia entrar na sua casa, mas escolher não consertar sua fechadura quebrada. Aí os cibercriminosos fazem festa.

Danger Dancing GIF by Bens Watch Club

A dura verdade: algumas coisas estão além do seu controle

A realidade é que você não pode impedir a criação de ferramentas como o FraudGPT. Você não pode impedir o escaneamento automatizado da internet. E a menos que você seja um pesquisador de segurança ou desenvolvedor de software, provavelmente não estará relatando ou corrigindo vulnerabilidades por conta própria.

Mas há uma coisa simples e incrivelmente eficaz que você pode fazer: manter seu software atualizado.

No mundo da cibersegurança, a preguiça é seu pior inimigo e a consistência é sua melhor amiga.

O poder do patch imediato

Trata-se de resolver problemas de segurança rapidamente antes que possam ser explorados.

Quando fornecedores de software lançam patches de segurança, eles estão essencialmente engajados em uma corrida contra cibercriminosos. Os criminosos conhecem a vulnerabilidade e estão tentando explorá-la antes que os usuários atualizem seu software. Ao atualizar rapidamente, você está se mantendo à frente nessa corrida.

Pode parecer inconveniente reiniciar seu computador ou telefone para uma atualização, mas é muito menos inconveniente do que lidar com as consequências de uma invasão.

Desafio: acompanhar atualizações em todos os dispositivos

Vamos ser honestos: acompanhar atualizações em todos os seus dispositivos e aplicativos pode ser tedioso. Interrompe seu fluxo de trabalho, às vezes exige reinicializações e ocasionalmente até muda recursos aos quais você já se acostumou.

Confused Robert Downey Jr GIF

Mas considere a alternativa: se expor ao risco de ter suas informações pessoais roubadas, suas contas comprometidas ou até mesmo sua identidade usada para fraudes. De repente, aqueles poucos minutos gastos atualizando não parecem tão ruins, não é?

Sua Salvadora: rotina de atualizações

A abordagem mais eficaz é construir uma rotina regular de atualização. Reserve um tempo específico toda semana para verificar e instalar atualizações em seus dispositivos e aplicativos. Muitos sistemas permitem que você programe atualizações automáticas durante horários em que você não está usando seus dispositivos.

Para aplicativos críticos que lidam com informações sensíveis, como aplicativos bancários ou gerenciadores de senhas, ative as atualizações automáticas sempre que possível.

Priorize seus aplicativos críticos, aqueles que têm informações sensíveis, como aplicativos bancários e, é claro, seu gerenciador de senhas e aplicativo autenticador 😉 

Ah! E também, não demore para instalar as atualizações do sistema operacional dos seus dispositivos (Windows, Android, iOS, Linux). Dê prioridade a seus dispositivos móveis.

Pode soar um pouco infantil, mas instalar atualizações é como escovar os dentes — um pequeno investimento regular que previne problemas muito maiores no futuro 🦷🪥 🟰 📱🔒️ 

Segurança acima da média

Plano de ação para o final de semana 🔐 

  1. Certifique-se de ativar as atualizações automáticas para seus aplicativos e sistemas operacionais.

  2. Coloque um alarme ou um lembrete no seu calendário para verificar se todos seus aplicativos estão atualizados.

    • Sugestão: começar verificando três ou quatro dias por semana e ajustar a frequência conforme for necessário (alguns aplicativos recebem atualizações com mais frequência do que outros).

  3. Aproveite a oportunidade para fazer uma “auditoria” dos seus aplicativos. Desinstale aqueles que não usa ou não precisa mais. Menos é mais 🙃 

Lembre-se: na batalha contínua entre especialistas em segurança e cibercriminosos, você pode não estar na linha de frente desenvolvendo software ou descobrindo vulnerabilidades — mas você é responsável pela última e mais crucial linha de defesa: instalar as atualizações que te mantêm protegido. Talvez, um dia, sejamos nós que estaremos um passo à frente do vilão.

O que achou da edição desta semana?

Pode me responder, ou deixar um comentário. Prometo ler e te retornar. Quem sabe? Pode até dar numa conversa interessante.