O potencial da inteligência artificial é elevadísimo em muitos campos, como a ciência ou as finanças, mas também é uma ferramenta que está a ajudar aos ciberdelincuentes a aperfeiçoar suas fraudes. Assim o explicou Sam Mitrovic, experiente em segurança de Microsoft e fundador da consultora CloudJoy, quem tem alertado de que certos timadores têm começado a utilizar IAs generativas de voz para enganar aos utentes se fazendo passar pelo serviço técnico de Google.
A intenção última destes estafadores é apoderar-se de contas de Gmail. A fraude, do que Mitrovic esteve a ponto de ser vítima, se originou ao receber uma notificação para aprovar uma tentativa de recuperação de conta de Gmail. Este experiente recusou-a, mas, passados uns 40 minutos, recebeu um telefonema de uma pessoa que se identificou em seu terminal como 'Google Sídney'.
Recuperação da conta de Gmail
Uma semana depois, o experiente recebeu uma nova notificação para aprovar a recuperação de sua conta de Gmail, também desde Estados Unidos. Por segunda vez, descartou-a, de maneira que voltaram a chamar com um número australiano, tal e como tem relatado em seu blog.
Desta vez sim respondeu ao telefonema. Seu interlocutor apresentou-se como um profissional do serviço técnico de Google, e lhe comentou que se tinha detectado uma actividade suspeita em sua conta de correio eletrónico. A seguir, o suposto operador indicou a Mitrovic que alguém tinha tido acesso a sua conta de Gmail durante uma semana e que tinha descarregado seus dados.
Mesmo telefone móvel
O experiente em ciberseguridad comprovou na página site oficial de Google que o número associado ao serviço de suporte da assinatura correspondente a Austrália era o mesmo que refletia seu móvel.
Não obstante, para corroborar a legitimidade do telefonema, solicitou ao operador que lhe enviasse um correio eletrónico no que se indicasse a suposta incidência registada em sua conta e assim o fez, com um remitente que incluía um domínio de Google.
Um domínio suspeito
Apesar disso, o pesquisador sabia que era relativamente singelo falsificar tanto um número de telefone como um correio eletrónico (tal e como este meio tem relatado em algumas ocasiões, com incidências que têm ocorrido com Unicaja ou com Microsoft). Assim, advertiu que no campo 'Para' se incluía uma direcção de correio eletrónico com um domínio suspeito: 'googlemail@internalcasetracking.com'.
Por outra parte, durante o telefonema descobriu que esta poder-se-ia estar a gerar com uma ferramenta de IA "porque a pronunciación e o espaçamento" entre uma palavra e outra "eram demasiado perfeitos". Assim, quando pendurou ao suposto serviço técnico, acedeu ao apartado de Actividade de início de sessão em seu perfil de Gmail e comprovou que as únicas sessões de início de sessão eram as suas.
Direcção de correio falsificada
Por último, este experiente verificou que tinham falsificado a direcção de correio eletrónico do remitente utilizando Salesforce CRM. Ademais, comprovou que outros utentes de Reddit tinham recebido um correio eletrónico similar ao seu e tinham caído na fraude.
Há que ter muito em conta que Google nunca chama aos utentes de Gmail se não dispõem de um perfil comercial.