Os cibercriminosos estão a recorrer cada vez mais aos grandes modelos de linguagem (LLM) para criar conteúdos e utilizá-los em ataques de phishing e esquemas fraudulentos em grande escala, de acordo com os especialistas do Centro de Investigação de IA da Kaspersky. À medida que os cibercriminosos tentam criar sites fraudulentos em grandes volumes, deixam frequentemente alguns sinais distintivos – como frases específicas de IA – que distinguem estes sites dos criados manualmente. Até agora, a maioria dos exemplos de phishing observados pela Kaspersky tem como alvo os utilizadores de carteiras de criptomoedas.
Os especialistas da Kaspersky analisaram uma amostra de recursos, identificando as principais características que ajudam a distinguir e a detectar casos em que a IA foi utilizada para gerar conteúdo ou até mesmo encontrar websites inteiramente construídos com base em phishing e scam.
Um dos sinais proeminentes de texto gerado por LLM é a presença de isenções de responsabilidade e recusas de execução de comandos, incluindo frases como “Como um modelo de linguagem de IA…”. Por exemplo, duas páginas de phishing dirigidas a utilizadores da KuCoin contêm este tipo de texto.
Outro indicador distintivo da utilização de um modelo linguístico é a presença de orações concessivas, tais como: ‘Embora eu não possa fazer exactamente o que quer, posso tentar algo semelhante.” Noutros exemplos, dirigidos a utilizadores do Gemini e do Exodus, o LLM recusa a disponibilização de instruções detalhadas de início de sessão.
«Com os LLM, os atacantes podem automatizar a criação de dezenas ou mesmo centenas de páginas web de phishing e scam com conteúdo único e de alta qualidade. Anteriormente, isto exigia esforço manual, mas agora, através da IA os cibercriminosos podem gerar esse conteúdo automaticamente», explica Vladislav Tushkanov, Director do Grupo de Desenvolvimento de Investigação da Kaspersky.
Os LLM podem ser utilizados para criar não só blocos de texto, mas também websites inteiros, deixando vestígios que aparecem tanto no próprio texto como em áreas como as tags: fragmentos de texto que descrevem o conteúdo de um website e que aparecem no seu código HTML.
Existem outros indicadores que provam a utilização da Inteligência Artificial na criação de websites fraudulentos. Alguns modelos, por exemplo, tendem a utilizar frases específicas como “delve”, “in the ever-evolving landscape” e “in the ever-changing world”. Embora estes termos não sejam considerados indicadores fortes de conteúdo gerado por IA, podem ser vistos como sinais.
Por norma, os textos gerados pelos LLM contém frases como “de acordo com a minha última actualização em Janeiro de 2023” e são frequentemente combinados com tácticas que tornam a detecção de páginas de phishing mais difícil para as ferramentas de cibersegurança. Por exemplo, os atacantes podem utilizar símbolos Unicode não normalizados para ofuscar o texto e impedir a correspondência por sistemas de deteção baseados em regras.
«Os grandes modelos linguísticos estão a melhorar e os cibercriminosos estão a explorar formas de aplicar esta tecnologia para fins nefastos. No entanto, os erros ocasionais fornecem informações sobre a utilização destas ferramentas, nomeadamente sobre o crescente grau de automatização. Com os futuros avanços, distinguir o conteúdo gerado pela IA do texto escrito por humanos pode tornar-se mais difícil, tornando crucial a utilização de soluções de segurança avançadas que analisem a informação textual juntamente com os metadados e outros indicadores de fraude», afirmou Vladislav Tushkanov.
