Criminosos estão usando o chatbot Grok, do X, para propagar golpes de phishing. Por meio de uma técnica que induz o sistema a republicar links maliciosos, o assistente de IA da plataforma virou um meio de difusão de fraudes com potencial de alcançar milhões de usuários, representando um alto risco de furto de dados e de identidade.
Batizada de “Grokking”, a tática ilustra, segundo a empresa de segurança digital ESET, os perigos da combinação entre engenharia social e inteligências artificiais e evidencia a evolução das ameaças.
Na prática, os golpistas contornam uma regra do X que veda links em publicações patrocinadas. Eles veiculam vídeos atraentes com URLs ocultas no campo técnico “from” e depois perguntam ao chatbot Grok sobre a origem do conteúdo. Ao ler a mensagem, o robô identifica o link e o divulga em uma resposta automática, legitimando a fraude ao vinculá-la a uma conta verificada.
“Qualquer ferramenta de IA integrada a plataformas confiáveis fica suscetível a esse tipo de manipulação, evidenciando o esforço de criminosos para burlar mecanismos de proteção e os riscos de aceitar resultados da IA sem verificação”, afirma Camilo Gutiérrez Amaya, chefe do laboratório de pesquisa da ESET na América Latina.
Os perigos do “Grokking”
- Transformar chatbots confiáveis em vetores que amplificam links de phishing
- Alcance potencial de milhões de visualizações em vídeos patrocinados que espalham fraudes ou malwares
- Reforço da autoridade dos links em mecanismos de busca e da reputação digital por associação com a IA
- Centenas de contas replicando a técnica até serem bloqueadas
- Links que levam a formulários para coleta de dados ou a malwares, com risco de invasão de contas e roubo de identidade
A engenharia social manipula pessoas para obter informações pessoais ou levá-las a instalar códigos maliciosos. Com a popularização de ferramentas generativas de IA, criminosos passaram a empregar essas tecnologias para elaborar golpes cada vez mais sofisticados.
“A IA intensifica a engenharia social de duas maneiras: produz campanhas de phishing altamente convincentes com áudios e vídeos falsificados e, agora, com essa técnica envolvendo chatbots, cria uma nova dimensão para ações criminosas”, avalia Amaya.
Fique ligado
Pesquisas da Gartner confirmam o aumento desses ataques: 32% das empresas sofreram incidentes envolvendo IA generativa no último ano. Além disso, criminosos conseguem ocultar mensagens maliciosas em textos invisíveis ou caracteres especiais, tornando qualquer GenAI suscetível ao uso indevido para difundir conteúdo perigoso.
Antes de clicar em links enviados por bots, passe o mouse sobre eles para conferir o endereço e evitar sites perigosos. Também é essencial manter postura crítica diante das respostas de inteligências artificiais, principalmente quando apresentarem contradições ou inconsistências.
Medidas simples ajudam a proteger usuários contra esse tipo de golpe: use senhas fortes, únicas e gerenciadas por programas específicos; ative a autenticação multifator; e mantenha sistemas e softwares atualizados para reduzir a exploração de vulnerabilidades.
