O chatbot de inteligência artificial da rede social X (antigo Twitter) foi usado por criminosos para apoiar golpes de phishing. A partir de uma técnica que manipula o sistema para republicar links maliciosos, o robô da plataforma acabou se tornando, sem saber, um canal de disseminação de fraudes com potencial de atingir milhões de usuários – e com alto risco de furto de dados e identidade. A prática, chamada Grokking, é um novo exemplo dos perigos gerados pela combinação entre engenharia social e IA, alerta a empresa de segurança digital ESET.

Não quer perder as últimas notícias de tecnologia? Siga o perfil do 33Giga no Instagram e no Bluesky

A engenharia social é o método pelo qual hackers manipulam pessoas para que entreguem informações pessoais ou instalem programas maliciosos. Desde que ferramentas de IA generativa (GenAI) se popularizaram, criminosos passaram a usar essas tecnologias para criar golpes cada vez mais sofisticados. Na campanha identificada, os golpistas conseguem burlar uma regra do X que proíbe links em posts patrocinados. Eles publicam vídeos atraentes com links escondidos no campo técnico chamado “from” e fazem perguntas ao chatbot Grok sobre a origem do vídeo. O robô, lendo a mensagem, identifica o link e o promove com uma resposta automática, reforçando a causa da fraude por estar associado a uma conta oficial verificada.

Segundo Camilo Gutiérrez Amaya, chefe do laboratório de pesquisa da ESET na América Latina, esta técnica não se limita à rede social X. “Qualquer ferramenta de IA integrada a plataformas confiáveis está vulnerável a esse tipo de manipulação, mostrando o quanto criminosos buscam criar novas formas de driblar mecanismos de segurança e os riscos de confiar cegamente nos resultados da IA”, afirma.

De acordo com a ESET, os perigos do Grokking incluem:

• Transformar um chatbot confiável em ator malicioso capaz de ampliar links de phishing;
• Alcance potencial de milhões de visualizações em vídeos pagos que disseminam fraudes e malwares;
• Fortalecimento dos links em ferramentas de busca e reputação digital devido à associação com a IA;
• Links levam a formulários para roubo de dados e a malwares que podem resultar em invasão de contas e roubo de identidade.

“A IA intensifica a engenharia social de duas formas: cria campanhas de phishing convincentes com áudios e vídeos falsos e agora, com essa técnica do chatbot, abre uma nova dimensão para ações criminosas”, explica Gutiérrez Amaya.

O aumento desse tipo de ataque é confirmado por pesquisas da Gartner, que indicam que 32% das empresas sofreram ataques com IA generativa no último ano. Além disso, criminosos podem esconder mensagens maliciosas em textos invisíveis ou caracteres especiais, tornando qualquer GenAI suscetível ao uso indevido para propagar conteúdos perigosos.

A ESET orienta que, antes de clicar em links enviados por bots, os usuários passem o mouse sobre eles para conferir a URL e evitar acessar sites maliciosos. A empresa recomenda ainda manter postura crítica em relação às respostas de inteligências artificiais, especialmente quando apresentarem contradições ou incoerências. “Ferramentas de IA criaram um novo desafio na luta contra golpes digitais. A melhor defesa é nunca aceitar respostas prontas como certas, questionar sempre e agir com cautela”, conclui Gutiérrez Amaya.

Ainda segundo a ESET, algumas práticas simples podem ajudar a proteger os usuários desse tipo de golpe, como utilizar senhas fortes, únicas e gerenciadas por programas específicos, além de ativar a autenticação multifator. A empresa destaca também a necessidade de manter softwares e sistemas atualizados para impedir a exploração de vulnerabilidades. Por fim, reforça que investir em soluções de segurança digital confiáveis ajuda a bloquear malwares e prevenir tentativas de phishing.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga