Desde setembro de 2024, um grupo de criminosos digitais tem utilizado ferramentas de inteligência artificial da OpenAI para executar uma campanha de spam direcionada. Segundo informações da empresa de cibersegurança SentinelOne, a estratégia incluiu gerar mensagens personalizadas que conseguem driblar os filtros de segurança de aproximadamente 80 mil sites. Por meio dessa técnica, promoviam serviços de SEO, como Akira e ServiceWrap, que, na realidade, eram fraudulentos.
A operação foi revelada em um relatório da SentinelOne, que destacou a utilização de uma ferramenta conhecida como AkiraBot, responsável por disparar spam para cerca de 420 mil sites. Dessas tentativas, 80 mil tiveram sucesso, evidenciando a eficácia da estratégia que mescla a criatividade da IA com ações mal-intencionadas.
Como a IA foi usada pelos golpistas?
Os golpistas usaram a API da OpenAI para criar mensagens personalizadas, manipulando o modelo GPT-4o Mini. Esse modelo foi ajustado para atuar como um “assistente prestativo” que elaborava mensagens de marketing. Essa abordagem permitiu a geração de textos variados, evitando a homogeneidade frequentemente vista em campanhas de spam, o que ajudou a contornar filtros automáticos.
Além disso, as mensagens enviadas pelas ferramentas criadas com IA eram muito mais difíceis de serem detectadas por sistemas de segurança. A operação evoluiu rapidamente, começando com foco em sites hospedados na Shopify, antes de expandir suas táticas para plataformas populares como GoDaddy, Wix e Squarespace. Essa adaptabilidade foi parte fundamental do sucesso da operação.
Os investigadores ressaltaram que as mensagens fraudulentas eram enviadas por meio de formulários de contato ou sistemas de atendimento por chat. Nos casos em que as tentativas de contato foram bem-sucedidas, os criminosos ofereciam pacotes de SEO por apenas US$ 30 mensais, serviços que eram, na melhor das hipóteses, ineficazes e, na pior, totalmente fraudulentos.
A empresa SentinelOne alertou para o fato de que, com a popularização de novas plataformas digitais, os agentes mal-intencionados se aproveitam para disseminar spam e fraudes. Embora o e-mail continue a ser um dos canais mais comuns para esses ataques, a ampliação da internet e de ferramentas digitais criou um novo cenário para a propagação de conteúdos maliciosos.
Qual era o golpe?
O golpe em questão promovia serviços de SEO de baixa qualidade, especificamente os serviços conhecidos como Akira e ServiceWrap. A autenticidade e a qualidade desses serviços foram chamadas em questão, pois os criminosos usaram métodos ilícitos para criar um ambiente que parecia legítimo, utilizando avaliações manipuladas. Em plataformas como TrustPilot, esses serviços apresentavam um número significativo de avaliações cinco estrelas, que parecem ter sido geradas através de IA.
Dentre as evidências coletadas, observou-se que várias contas publicavam avaliações sobre diferentes empresas e, em seguida, atribuíram notas máximas a Akira ou ServiceWrap. Esse padrão de comportamento sugere uma estratégia coordenada para criar uma percepção positiva dessas marcas, o que pode enganar administradores de sites e levá-los a comprar serviços fraudulentos.
O que diz a OpenAI?
Em resposta aos achados da SentinelOne, a OpenAI disponibilizou uma declaração enfatizando que a utilização de suas tecnologias para práticas de spam viola suas políticas. A empresa agiu imediatamente para desativar a chave de API utilizada na prática ilegal e continuará investigando a situação.
A OpenAI destacou: “Levamos o uso indevido muito a sério e estamos constantemente aprimorando nossos sistemas para detectar abusos.” Essa resposta revela o compromisso da empresa em combater fraudes e proteger o uso ético de sua tecnologia.
Consequências e a resposta do mercado
A atuação deste grupo malicioso não apenas expõe as vulnerabilidades das plataformas digitais, mas também levanta discussões sobre a responsabilidade das empresas que desenvolvem tecnologias de inteligência artificial. A pressão por regulamentações mais rigorosas é crescente, dado o potencial das IAs de serem mal-utilizadas.
A confiança do consumidor é um ativo precioso. Situações como esta podem prejudicar profundamente a reputação de empresas de tecnologia e esfriar o entusiasmo em relação à IA, que, apesar dos riscos, também oferece inúmeras possibilidades para inovações e melhorias em vários setores.
Empresas e desenvolvedores precisam adotar práticas de segurança robustas e educar seus usuários sobre os riscos digitais que podem enfrentar. A disseminação de informações sobre como reconhecer e lidar com tentativas de spam se torna vital para proteger a integridade dos negócios e de suas operações. É um chamado à ação para todos no ecossistema digital, e a colaboração pode ser a chave para mitigar os efeitos de tais campanhas maliciosas.
O futuro da tecnologia e de suas aplicações
À medida que a inteligência artificial continua a se desenvolver, as implicações de seu uso no mundo digital se tornam mais complexas. As empresas enfrentarão o desafio de equilibrar inovação com segurança. Isso significa que a pesquisa e o desenvolvimento de técnicas de detecção e prevenção de fraudes precisam ser tão dinâmicas quanto as fraudes atuais.
A luta contra atos ilícitos na era digital não pode se limitar a um esforço individual de empresas de segurança ou de tecnologia, mas deve envolver uma colaboração ampla, incluindo formuladores de políticas, comunidades e o público em geral. A conscientização e a educação continuam a ser ferramentas valiosas na luta contra fraudes online.
Com isso, o cenário digital continuará a evoluir, apresentando novos desafios e oportunidades, e o papel da IA na sociedade será constantemente reavaliado. Os próximos passos determinarão como as tecnologias emergentes moldarão o futuro do comércio, da comunicação e da proteção contra ameaças digitais.
