0
0
Novas ferramentas de IA oferecem maneiras mais fáceis e rápidas para as pessoas realizarem seus trabalhos, incluindo cibercriminosos. A IA torna o lançamento de ataques automatizados mais eficientes e acessíveis.
Você provavelmente já ouviu falar de várias maneiras pelas quais os agentes de ameaças estão usando o ChatGPT e outras ferramentas de IA para fins nefastos . Por exemplo, foi comprovado que a IA generativa pode escrever e-mails de phishing bem-sucedidos, identificar alvos para ransomware e conduzir engenharia social . Mas o que você provavelmente não ouviu é como os invasores estão explorando a tecnologia de IA para escapar diretamente das defesas de segurança da empresa.
Embora existam políticas que restringem o uso indevido dessas plataformas de IA, os cibercriminosos estão ocupados tentando descobrir como contornar essas restrições e proteções de segurança.
Fazendo o jailbreak do ChatGPT Plus e ignorando as proteções da API do ChatGPT
Pessoas mal-intencionadas estão fazendo jailbreak no ChatGPT Plus para usar o poder do GPT-4 gratuitamente, sem todas as restrições e proteções que tentam impedir o uso antiético ou ilegal.
A equipe de pesquisa de Kasada descobriu que as pessoas também estão obtendo acesso não autorizado à API do ChatGPT, explorando os repositórios do GitHub, como os encontrados no tópico do Reddit de jailbreaks do GPT , para eliminar geofencing e outras limitações de conta.
As configurações de preenchimento de credenciais também podem ser modificadas com o ChatGPT se os usuários encontrarem os desvios OpenAI corretos de recursos como gpt4free do GitHub , que engana a API do OpenAI fazendo-a acreditar que está recebendo uma solicitação legítima de sites com contas OpenAI pagas, como You.com.
Esses recursos possibilitam que os fraudadores não apenas lancem ataques bem-sucedidos de controle de conta (ATO) contra contas ChatGPT, mas também usem contas com jailbreak para auxiliar em esquemas de fraude em outros sites e aplicativos.
Contas ChatGPT Plus com jailbreak e roubadas estão sendo compradas e vendidas ativamente na Dark Web e em outros mercados e fóruns. Os pesquisadores da Kasada descobriram contas roubadas do ChatGPT Plus para venda com preços tão baixos quanto $ 5, o que é, efetivamente, um desconto de 75%.
Contas ChatGPT roubadas têm grandes consequências para os proprietários de contas e outros sites e aplicativos. Para começar, quando os agentes de ameaças obtêm acesso a uma conta ChatGPT, eles podem visualizar o histórico de consultas da conta, que pode incluir informações confidenciais. Além disso, os malfeitores podem alterar facilmente as credenciais da conta, fazendo com que o proprietário original perca todo o acesso.
Mais criticamente, também prepara o terreno para a ocorrência de fraudes mais sofisticadas, pois as barreiras são removidas com contas desbloqueadas, tornando mais fácil para os cibercriminosos aproveitar o poder da IA para realizar sofisticados ataques automatizados direcionados às empresas.
Ignorando CAPTCHAs com IA
Outra maneira pela qual os agentes de ameaças estão usando a IA para explorar as defesas corporativas é evitando os CAPTCHAs. Embora os CAPTCHAs sejam universalmente odiados, eles ainda protegem 2,5 milhões – mais de um terço – de todos os sites da Internet.
Novos avanços em IA facilitam o uso de IA pelos cibercriminosos para contornar os CAPTCHAs. O ChatGPT admitiu que poderia resolver um CAPTCHA, e a Microsoft anunciou recentemente um modelo de IA que pode resolver quebra-cabeças visuais.
Além disso, os sites que dependem de CAPTCHAs são cada vez mais suscetíveis aos bots sofisticados de hoje, que podem contorná-los com facilidade por meio de solucionadores de CAPTCHA assistidos por IA, como o CaptchaAI, que são baratos e fáceis de encontrar, representando uma ameaça significativa à segurança online.
Conclusão
Mesmo com políticas rígidas para tentar evitar abusos em plataformas de IA, os malfeitores estão encontrando maneiras criativas de armar a IA para lançar ataques em escala. Como defensores, precisamos de maior conscientização, esforços colaborativos e segurança robusta projetada para combater com eficácia as ameaças cibernéticas alimentadas por IA, que continuarão a evoluir e avançar em um ritmo mais rápido do que nunca.
FONTE: DARKREADING