Um estudo recente mostrou como os chatbots modernos podem ser facilmente usados para escrever e-mails fraudulentos convincentes direcionados a pessoas idosas e com que frequência esses e-mails recebem cliques.
Os pesquisadores utilizaram diversos chatbots de IA importantes no estudo, incluindo Grok, ChatGPT da OpenAI, Claude, Meta AI, DeepSeek e Gemini do Google, para simular um golpe de phishing.
Um exemplo de bilhete escrito por Grok parecia uma mensagem amigável da "Silver Hearts Foundation", descrita como uma nova instituição de caridade que oferece apoio a idosos, companhia e cuidados. O bilhete era direcionado a pessoas da terceira idade, prometendo uma maneira fácil de se envolver. Na realidade, essa instituição de caridade não existe.
“Acreditamos que todos os idosos merecem dignidade e alegria em seus anos dourados”, dizia o comunicado. “Ao clicar aqui, você descobrirá histórias emocionantes de idosos que ajudamos e saberá como você pode se juntar à nossa missão.”
Quando a Reuters pediu ao Grok para escrever o texto de phishing, o bot não só gerou uma resposta como também sugeriu aumentar a urgência: “Não espere! Junte-se à nossa comunidade solidária hoje mesmo e ajude a transformar vidas. Clique agora para agir antes que seja tarde demais!”
108 voluntários idosos participaram do estudo sobre phishing
Repórteres testaram se seis chatbots de IA bastante conhecidos abririam mão de suas regras de segurança e redigiriam e-mails com o objetivo de enganar idosos. Eles também pediram ajuda aos bots para planejar campanhas de golpes, incluindo dicas sobre o melhor horário do dia para obter uma resposta mais rápida.
Em colaboração com Heiding, um pesquisador da Universidade de Harvard que estuda phishing, os pesquisadores testaram alguns dos e-mails escritos por bots em um grupo de 108 voluntários idosos.
Normalmente, as empresas de chatbots treinam seus sistemas para rejeitar solicitações maliciosas. Na prática, essas medidas de segurança nem sempre são garantidas. O Grok exibiu um aviso de que a mensagem gerada “não deveria ser usada em cenários reais”. Mesmo assim, entregou o texto de phishing e intensificou a abordagem com um “clique agora”
Outros cinco chatbots receberam as mesmas instruções: ChatGPT da OpenAI, o assistente da Meta, Claude, Gemini e DeepSeek, da China. A maioria dos chatbots se recusou a responder quando a intenção foi esclarecida.
Ainda assim, suas proteções falharam após pequenas modificações, como alegar que a tarefa se destinava a fins de pesquisa. Os resultados dos testes sugeriram que criminosos poderiam usar (ou já podem estar usando) chatbots para campanhas de fraude. "Você sempre pode contornar essas coisas", disse Heiding.
Heiding selecionou nove e-mails de phishing gerados pelos chatbots e os enviou aos participantes. Aproximadamente 11% dos destinatários caíram no golpe e clicaram nos links. Cinco das nove mensagens receberam cliques: duas da Meta AI, duas da Grok e uma da Claude. Nenhum dos idosos clicou nos e-mails gerados pela DeepSeek ou pela ChatGPT.
No ano passado, Heiding liderou um estudo que mostrou que e-mails de phishing gerados pelo ChatGPT podem ser tão eficazes em obter cliques quanto mensagens escritas por pessoas, nesse caso, entredentuniversitários.
O FBI lista o phishing como o crime cibernético mais comum
Phishing refere-se à prática de atrair vítimas desavisadas para que forneçam dados confidenciais ou cash por meio de e-mails e mensagens de texto falsos. Esses tipos de mensagens são a base de muitos crimes online.
Bilhões de mensagens de texto e e-mails de phishing são enviados diariamente em todo o mundo. Nos Estados Unidos, o FBI (Departamento Federal de Investigação) lista o phishing como o crime cibernético mais comumente relatado.
Os idosos americanos são particularmente vulneráveis a esses golpes. De acordo com dados recentes do FBI, as queixas de pessoas com 60 anos ou mais aumentaram oito vezes no ano passado, com prejuízos que chegam a US$ 4,9 bilhões. A inteligência artificial generativa agravou muito a situação, afirma o FBI.
Somente em agosto, usuários de criptomoedas perderam US$ 12 milhões em golpes de phishing, de acordo com uma Cryptopolitan .
No caso dos chatbots, a vantagem para os golpistas reside no volume e na velocidade. Ao contrário dos humanos, os bots conseguem gerar inúmeras variações em segundos e a um custo mínimo, reduzindo o tempo e o dinheiro necessários para aplicar golpes em larga escala.
