Um software malicioso que funciona como um ChatGPT “do mal” tem chamado a atenção de especialistas em segurança, principalmente porque o objetivo do programa é espalhar e-mails de phishing e atacar contas bancárias para roubar dinheiro das vítimas. O “gêmeo” maligno do chatbot recebeu o nome de WormGPT — junção das palavras “Worm”, um tipo de malware que se espalha e infecta computadores, e “GPT”, modelo de linguagem semelhante ao do software da OpenAI. A seguir, entenda como funciona o programa malicioso e veja dicas de como se proteger.
O que é e como funciona o WormGPT?
O WormGPT é uma cópia maliciosa do ChatGPT. Ele funciona de maneira similar ao robô da OpenAI, mas seu principal objetivo é gerar e-mails de phishing para aplicar golpes bancários e roubar o dinheiro das vítimas. Segundo informações da empresa de cibersegurança SlashNext, o WormGPT também tem sido usado em ataques conhecidos como Business E-mail Compromise (comprometimento de e-mails comerciais, em tradução livre) — também chamados de BEC — que são ataques de malware direcionados às empresas.
Ainda de acordo com a companhia, o WormGPT tem se popularizado em sites e fóruns paralelos na internet, normalmente associados ao cibercrime. Por lá, o software é tido como um “irmão gêmeo do mal” do ChatGPT, e o seu único propósito é gerar conteúdo malicioso.
De acordo com informações da NovaRed, outra empresa que atua em soluções de segurança digital, em ataques desse tipo, criminosos usam o WormGPT para se passar por uma pessoa de confiança e induzir as vítimas a enviar informações sigilosas, como dados pessoais de cartões de crédito e conteúdos confidenciais de empresas, por exemplo. Além disso, também influenciam as pessoas a clicarem em links suspeitos e anexos maliciosos que podem infectar o computador.
Outro ponto que preocupa os especialistas é que o uso da ferramenta maliciosa é bastante intuitivo e não requer conhecimento prévio em programação, o que pode acabar contribuindo para uma disseminação ainda maior e mais perigosa do golpe.
Popularidade no Brasil
De acordo com Rafael Sampaio, gerente da NovaRed (companhai especialista em segurança cibernética), ainda não há casos relatados de golpes envolvendo o WormGPT no Brasil. No entanto, fraudes de phishing e BEC podem ser consideradas comuns no país, uma vez que se tratam de golpes relativamente simples. Por isso, é preciso cuidado. Como esse tipo de fraude ainda é bastante comum em e-mails e mensagens enviadas por apps como o WhatsApp, por exemplo, é recomendado ter atenção redobrada, evitando clicar em links suspeitos ou fazer o download de arquivos desconhecidos.
Além disso, segundo o gerente, apesar de não ser um programa amplamente conhecido no país e não se tratar de uma ameaça imediata, o uso de programas como o WormGPT levanta questionamentos sobre a facilidade de se automatizar e simplificar ainda mais a geração de códigos maliciosos, o que é bastante preocupante dado a facilidade de proliferação do malware.
O que fazer para se proteger?
Algumas medidas podem ser úteis para evitar cair em golpes de phishing e BEC, sejam eles gerados por softwares maliciosos como o WormGPT ou por pessoas mal intencionadas. Dentre elas, estão a importância de suspeitar de mensagens que sejam muito apelativas e que envolvam uma urgência desnecessária na resposta, por exemplo.
Além disso, usuários também devem se atentar a e-mails que ofereçam grandes recompensas sem que seja necessário executar ações que justifiquem o retorno prometido. Também é importante checar os destinatários dos e-mails recebidos para verificar se eles realmente pertencem à pessoa que se identificou no início da mensagem.
Também é importante não clicar em links suspeitos ou baixar documentos anexados à mensagem sem se certificar, previamente, quem é o remetente do e-mail. Além disso, antes de clicar em links, você pode passar o mouse sobre ele para checar se a pré-visualização da página corresponde ao endereço desejado – caso contrário, não clique sobre o link em hipótese alguma.
Para finalizar, a dica de ouro: não passe informações pessoais ou senhas de banco por e-mail para ninguém, nem para pessoas de confiança. Mesmo que você conheça a pessoa, os seus dados podem ser comprometidos e acabar vazando na web se o seu e-mail ou o e-mail do destinatário das mensagens for atacado por cibercriminosos, por exemplo. Por isso, evite trocar informações sigilosas pelo WhatsApp ou e-mail.