Golpistas usam IA da OpenAI para driblar filtros antispam
Pesquisadores em segurança digital emitiram um alerta preocupante: golpistas estão utilizando a API da OpenAI para gerar mensagens de spam altamente convincentes, contornando filtros de segurança e espalhando conteúdo malicioso para mais de 80 mil sites em todo o mundo. A descoberta reforça os riscos do uso indevido de tecnologias de inteligência artificial por agentes mal-intencionados.
Como funciona o golpe
De acordo com um relatório publicado pela empresa Netcraft, especializada em cibersegurança, os criminosos estão automatizando o envio de mensagens através de formulários de contato em sites diversos. A diferença desta nova onda de spam está na qualidade do texto: as mensagens são escritas com o suporte de modelos de linguagem da OpenAI, como o GPT-4, o que permite um nível de naturalidade muito maior do que os tradicionais e-mails de phishing mal escritos.
Esses conteúdos são personalizados para parecer legítimos, adaptando-se ao idioma do site de destino e evitando os erros gramaticais ou padrões repetitivos que normalmente acionam filtros antispam. Como resultado, muitos administradores de sites acabam recebendo — e, pior, respondendo — a mensagens fraudulentas acreditando que são reais.
Um ataque sofisticado e automatizado
Os cibercriminosos operam por meio de robôs que varrem a internet em busca de formulários de contato. Ao identificar um site vulnerável, o sistema envia automaticamente mensagens geradas pela IA por meio da API pública da OpenAI, utilizando tokens adquiridos por terceiros ou por meio de cadastros automatizados.
O texto dessas mensagens pode conter:
- Ofertas falsas de parcerias comerciais
- Propostas de guest posts com links maliciosos
- Convites para clicar em URLs encurtadas
- Links que levam a páginas de phishing ou de malware
Em alguns casos, os próprios textos fingem ser solicitações de suporte técnico ou alertas de copyright, aumentando ainda mais a chance de engano.
A resposta da OpenAI
Procurada pela mídia, a OpenAI declarou que repudia o uso malicioso de suas ferramentas e que possui políticas rigorosas de uso em sua API, incluindo o monitoramento automático de atividades suspeitas. No entanto, a empresa também reconhece que golpistas estão cada vez mais sofisticados em suas estratégias para contornar as regras e mascarar suas intenções.
A OpenAI afirma que, quando identificadas, contas envolvidas em atividades irregulares são rapidamente banidas e seus tokens revogados. A empresa também está trabalhando com especialistas em segurança e autoridades para ajudar a rastrear e mitigar esse tipo de abuso.
Como proteger seu site
Diante da crescente sofisticação desses golpes, administradores de sites precisam redobrar os cuidados com seus formulários de contato e caixas de entrada:
- Implemente reCAPTCHA ou hCaptcha nos formulários para dificultar o uso automatizado
- Utilize filtros baseados em reputação de IPs para barrar tráfego de bots conhecidos
- Monitore o volume de mensagens recebidas e investigue picos de envios
- Use plugins de segurança e firewalls de aplicação (WAF) para bloquear ataques automatizados
- Desconfie de mensagens muito bem escritas, especialmente se o conteúdo for genérico ou parecer bom demais para ser verdade
Conclusão
A crescente utilização de inteligência artificial para fraudes online representa um novo desafio para a segurança digital. Se, por um lado, a IA oferece inúmeras oportunidades legítimas, por outro, seu poder também está sendo explorado por grupos mal-intencionados com propósitos cada vez mais refinados.
Ficar atento, manter ferramentas de proteção atualizadas e aplicar boas práticas de segurança são passos essenciais para evitar cair em armadilhas bem articuladas.
📬 Você já recebeu uma mensagem de spam “bem escrita demais”? Conte nos comentários como foi a experiência e ajude outros usuários a reconhecer esses novos golpes com IA.
Fontes:
Netcraft, TechCrunch, OpenAI, Ars Technica, Bleeping Computer