Escolar Documentos
Profissional Documentos
Cultura Documentos
Ainda não há evidências claras de agentes de ameaças usando IA para fins nefastos. Mesmo
assim, considerando o surgimento deste novo serviço, há a probabilidade de tal cenário aumentar,
com alguns especialistas em segurança prevendo que isso acontecerá nos próximos dois a três anos.
Vários pesquisadores de segurança e a Deloitte CTI já experimentaram o ChatGPT em muitos
domínios, e as saídas variam. Essas variações nas respostas incluem saídas ausentes e, em alguns
casos, até respostas incorretas. Portanto, em uma saída maliciosa complexa hipotética (por enquanto)
do serviço, o usuário precisará de conhecimento suficiente para detectar “erros” no ChatGPT.
A Deloitte CTI observou relatórios do serviço sendo utilizados para encontrar bugs e realização
de testes de penetração, técnicas que os agentes de ameaças podem empregar para fins nefastos,
bem como saídas do ChatGPT usadas para reconhecimento, força bruta, varredura de
vulnerabilidades, ofuscação, alteração de código para outra linguagem e criação de ferramentas
personalizadas.
Fig.1: Ator de ameaça compartilhou tutorial sobre como criar malware de criptomoeda usando ChatGPT
A Deloitte CTI também observou discussões clandestinas sobre o ChatGPT e como os agentes
de ameaças o usam para gerar explorações ou alavancar o serviço em suas campanhas. Várias das
discussões giraram em torno em torno de atividades fraudulentas e como os agentes de ameaças
acharam a ferramenta útil para criar reivindicações de fraude, preencher formulários e gerar
esquemas de Engenharia Social. Alguns atores chegaram a criar ferramentas maliciosas com o serviço
(Figura 1). Devido à natureza das comunidades clandestinas, espera-se que as discussões relacionadas
à tecnologia de IA aumente, facilitando o compartilhamento de informações e o aprendizado para
atores de ameaças. O modelo de linguagem do ChatGPT será substituído em 2023 para um modelo
mais novo (GPT-4), e os especialistas preveem que será muito melhor, com capacidades aprimoradas
e melhor compreensão. Nas mãos erradas, tem o potencial de se tornar perigoso.
Em geral, O ChatGPT pode reduzir a barreira para que os agentes de ameaças iniciem ataques
cibernéticos, pois fornece orientações e melhores insumos que podem ser aproveitados para
propósitos nefastos.
Tendências do Cibercrime
ChatGPT: Uma tendência observada em campanhas cibercriminosas.
A utilização do ChatGPT, como uma ferramenta de comunicação e interação por meio de texto,
pode apresentar alguns desafios à Segurança da Informação.
1. Vazamento de Informações Sensíveis: Ao interagir com o ChatGPT, é importante ter cuidado para
não compartilhar informações confidenciais, como senhas, números de cartão de crédito,
informações pessoais identificáveis ou segredos comerciais. Embora seja informado que o mesmo
não possui capacidade de armazenamento e não mantém registros de conversas, é sempre
recomendado evitar o compartilhamento de informações sensíveis em qualquer plataforma de
comunicação.
2. Riscos de Phishing e Engenharia Social: Embora o sistema não seja capaz de iniciar ativamente
solicitações de informações pessoais, é importante estar ciente de possíveis tentativas de Phishing ou
Engenharia Social por parte de atores maliciosos que possam tentar se passar pelo ChatGPT e mais
uma vez, nunca forneça informações pessoais ou confidenciais em fontes desconhecidas.
4. Limitações de Segurança: Embora medidas de segurança sejam tomadas para proteger e garantir a
segurança do ChatGPT, não é possível garantir que o mesmo esteja completamente imune a
vulnerabilidades ou ataques. Assim como qualquer sistema de software, é possível que existam falhas
de segurança desconhecidas ou que sejam descobertas no futuro.
1. Políticas Claras: Políticas de segurança da informação específicas para o uso do ChatGPT. Essas
políticas devem abordar a utilização adequada da ferramenta, restrições de acesso, responsabilidades
dos usuários, compartilhamento de informações confidenciais e procedimentos para reportar
incidentes de segurança.
5. Proteção de Dados: Procurar garantir que os dados confidenciais da organização não sejam
compartilhados ou armazenados desnecessariamente durante as interações com o ChatGPT.
Implementando medidas de anonimização e pseudonimização, sempre que possível, para proteger a
privacidade dos usuários e dos dados sensíveis.