A popularidade das plataformas de Inteligência Artificial tornou-se um íman para atividades maliciosas, e uma nova campanha de spam está a tirar partido da confiança dos utilizadores na OpenAI. Segundo uma investigação recente da Kaspersky, os atacantes encontraram uma forma de enviar emails fraudulentos diretamente a partir dos servidores legítimos da empresa, contornando a maioria dos filtros de segurança tradicionais.
O método utilizado é simultaneamente simples e eficaz, explorando uma funcionalidade destinada à colaboração profissional para disseminar esquemas de phishing e spam.
O truque do "nome da organização"
O ataque começa com os burlões a criarem uma conta legítima na plataforma da criadora do ChatGPT. Durante o processo de configuração, o sistema solicita o nome da organização do utilizador. É aqui que reside o "cavalo de Troia": em vez de inserirem um nome de empresa válido, os atacantes preenchem este campo com mensagens enganosas, links maliciosos ou números de telefone fraudulentos.
Após a criação da conta, a plataforma permite convidar outros membros para a "equipa". Ao inserirem os endereços de email das vítimas, a própria plataforma envia um convite oficial. Para quem recebe a mensagem, o remetente é genuíno (o email provém de um endereço oficial da empresa), o que confere uma falsa sensação de segurança.
A Kaspersky identificou que estas campanhas estão a ser usadas para promover serviços duvidosos, como conteúdos para adultos, mas também para esquemas mais perigosos de "vishing" (phishing por voz). Nestes casos, a mensagem (inserida no campo do nome da organização) alerta falsamente para a renovação de uma subscrição dispendiosa, instruindo a vítima a ligar para um número de apoio ao cliente falso para cancelar o pagamento. Ao realizarem a chamada, as vítimas são manipuladas para cederem dados bancários ou instalarem software malicioso.
Sinais de alerta e como se proteger
Anna Lazaricheva, analista da Kaspersky, sublinha que este ataque é um exemplo clássico de engenharia social, onde elementos maliciosos são inseridos em campos aparentemente inócuos. Embora o email seja tecnicamente legítimo, o texto que os atacantes querem que a vítima leia — muitas vezes destacado pelo design do convite — é estruturalmente inconsistente com o resto da mensagem padrão.
Para se protegerem desta nova vaga de ataques via IA e plataformas digitais, os especialistas recomendam cautela redobrada:
Verifique a origem: Trate com suspeita qualquer convite não solicitado para se juntar a uma organização, mesmo que o email pareça vir de uma fonte fidedigna.
Atenção aos detalhes: Inspecione cuidadosamente qualquer URL ou texto estranho dentro do corpo do email antes de clicar.
Não ligue para os números: Se receber um aviso de cobrança ou renovação suspeito, nunca use o número de telefone fornecido no email. Procure os contactos oficiais no site do serviço em questão.
Reporte: Se identificar um destes emails, denuncie-o ao fornecedor da plataforma para que a conta maliciosa possa ser bloqueada.
Nenhum comentário
Seja o primeiro!