Novo golpe de IA atinge milhões de contas do Gmail

Um funcionário da Microsoft alertou sobre um novo golpe de IA “hiper-realista” que poderia enganar “até mesmo os usuários mais experientes”. O golpe, que envolve chamadas e e-mails falsos supostamente do Google, tem como objetivo sequestrar contas do Gmail.

Fonte da imagem: Andras Vas/Unsplash

Com o advento da inteligência artificial, os invasores estão encontrando novas maneiras de usar a tecnologia a seu favor. O consultor de soluções da Microsoft, Sam Mitrovic, quase caiu no golpe e contou como tudo acontece em seu blog.

Recentemente, ele recebeu uma notificação por SMS solicitando a confirmação de uma tentativa de restaurar o acesso à sua conta do Gmail. O pedido veio dos EUA, mas ele rejeitou. Porém, 40 minutos depois, foi descoberta uma chamada perdida com o ID “Google Sydney”. Uma semana depois, Mitrovic recebeu novamente uma notificação de que estava tentando recuperar o acesso à sua conta do Gmail. E novamente, 40 minutos depois, recebi uma ligação, que desta vez resolvi atender. Segundo ele, quem ligou falava com sotaque americano, era extremamente educado e o número de quem ligou era australiano.

O interlocutor se apresentou e disse que foram registradas atividades suspeitas na conta e perguntou se Mitrovic estava de viagem. Após uma resposta negativa, fiz mais algumas perguntas esclarecedoras. Durante a conversa, um funcionário da Microsoft decidiu verificar o número usando dados do Google. Para sua surpresa, a documentação oficial do Google confirmou que algumas ligações poderiam de fato vir da Austrália, e o número parecia ser genuíno. No entanto, ciente da possível falsificação de número, Mitrovic continuou a investigação pedindo ao interlocutor que lhe enviasse um e-mail.

Ele concordou. Ao mesmo tempo, durante a espera na linha, foram ouvidos sons de teclado e ruídos característicos de um call center, o que não deveria ter levantado dúvidas sobre a autenticidade da conversa. Porém, tudo foi revelado no momento em que quem ligou repetiu “Olá” diversas vezes. Mitrovic percebeu que estava falando com uma IA porque “a pronúncia e as pausas eram perfeitas demais”.

Ele desligou e tentou ligar de volta para o número, mas ouviu uma mensagem automática: “Aqui é o Google Maps, não podemos atender sua ligação”. Em seguida, ele verificou a atividade de login em sua conta do Gmail (você pode fazer isso clicando na foto do seu perfil no canto superior direito, selecionando “Gerenciar conta do Google”, indo para a seção “Segurança” e marcando “Atividade de segurança recente” ). Todos os logins, felizmente, eram dele.

Em seguida, Mitrovic examinou os cabeçalhos do e-mail recebido e descobriu que o golpista havia falsificado o endereço do remetente usando o sistema Salesforce CRM, que permite aos usuários definir qualquer endereço e enviar e-mails através dos servidores Gmail do Google. O resultado final é que os golpistas de IA e de e-mail falso podem ser tão convincentes em suas ações que até mesmo usuários experientes podem ser enganados. Dadas as realidades tecnológicas de hoje, a única defesa é a vigilância.