Os “ChatGPTs bandidos” vendidos na dark web possuem vários nomes, como WormGPT ou FraudGPT. Um deles, o PentestGPT, é baseado em ferramentas legítimas usadas por profissionais de segurança para averiguar se os sistemas de suas organizações são resistentes, no chamado teste de penetração (pen test, em inglês). Na mão dos hackers, esse chatbot ajuda a localizar vulnerabilidades de segurança desconhecidas para os criadores, as chamadas “zero day”.
Mas a maioria dos “GPTs do mal” são usados para um golpe menos sofisticado e mais comum, o phishing, ao criar textos para enganar as pessoas de forma mais convincente.
Em seu uso menos sofisticado, eles facilitam a vida dos “príncipes nigerianos”: estrangeiros que, como o autor do e-mail do “príncipe” estrangeiro pedindo depósitos bancários, atacam países distantes.
“Para os criminosos, é útil, porque o texto gerado não vai ter erros gramaticais e vai ser escrito como se fosse um nativo. Antes, eles precisavam de um parceiro local fluente no idioma”,
Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise para a América Latina da Kaspersky, empresa de segurança criadora do antivírus com o mesmo nome.
Golpe customizado
Outra possibilidade é popularização do spearphishing. A adição de “spear” (lança) é uma referência à pescaria com arpão. Enquanto o phishing distribui e-mails em massa, no spearphishing, o alvo é uma vítima em particular —por exemplo, um gerente financeiro que tenha acesso privilegiado a credenciais bancárias. O criminoso pode elaborar uma e-mail aparentemente legítimo fingindo ser um chefe ou parte do suporte técnico.
