){kind=link}
Uma técnica de ataque, que não usa apenas injeção de prompt, consegue transformar o ChatGPT em uma superfície de phishing. Batizado de ChatGPhish, o método explora a forma como o assistente processa e exibe o conteúdo de páginas da internet durante a função de resumo. A descoberta é de pesquisadores da empresa de segurança Permiso Security.
O ataque funciona de forma simples. Quando um usuário pede ao ChatGPT para resumir uma página da internet, o assistente lê o conteúdo dessa página e gera uma resposta. O problema é que um invasor pode esconder instruções maliciosas dentro do texto dessa página e o ChatGPT vai seguir essas instruções sem questionar.
smart_display
Nossos vídeos em destaque
Página normal pode virar armadilha
Não é preciso que a página pareça suspeita para que o ataque funcione. Pode ser um artigo de blog, uma documentação técnica, um repositório no GitHub ou até mesmo um site de marketing comum. O usuário visita a página normalmente, pede ao ChatGPT para resumi-la e, sem saber, acaba ativando o ataque.
Isso porque o conteúdo escondido na página consegue ditar como o ChatGPT vai formatar a resposta. Os pesquisadores testaram um payload, basicamente um bloco de instruções ocultas no HTML da página, que ordenava ao assistente a incluir um alerta falso de segurança junto com o resumo legítimo.
O resultado foi que o ChatGPT gerou o resumo normalmente e, em seguida, adicionou uma mensagem dizendo que um novo dispositivo havia sido adicionado à conta do usuário, com um link clicável levando para um site controlado pelo atacante. Tudo apresentado dentro da interface do próprio ChatGPT, com a formatação e o visual do assistente.
O problema está na confiança que o ChatGPT dá ao conteúdo externo
O ChatGPhish só é possível por conta de um comportamento específico do ChatGPT. O assistente renderiza links em Markdown, basicamente uma forma de formatar texto que transforma palavras em links clicáveis, e também carrega imagens automaticamente a partir de URLs externas.
)
Isso significa que, se um atacante esconder dentro de uma página a instrução para exibir uma imagem hospedada em um servidor malicioso, o ChatGPT vai buscar e exibir essa imagem automaticamente. No processo, o servidor do atacante recebe o endereço IP do usuário, informações sobre o navegador e o momento exato em que a resposta foi gerada.
Essas informações funcionam como um rastreador silencioso. O atacante consegue saber que uma vítima específica acessou uma página específica por meio do ChatGPT, sem que ela perceba nada.
Código QR como vetor de ataque no celular
Um dos cenários mais preocupantes identificados pelos pesquisadores envolve o uso de códigos QR. O mesmo mecanismo que carrega imagens automaticamente pode ser usado para exibir um QR code dentro da resposta do ChatGPT.
)
Quando o usuário escaneia esse código com o celular, é redirecionado para um site malicioso. Isso é especialmente perigoso porque os mecanismos de defesa do computador, como a visualização do link ao passar o mouse ou filtros corporativos de URL, não conseguem inspecionar o destino de um código QR antes do escaneamento. O ataque pula do computador para o celular do usuário, onde as proteções costumam ser menores.
Por que isso é diferente de um phishing comum por e-mail
Ataques de phishing tradicionais dependem de o usuário receber e abrir algo suspeito, seja um e-mail, um anexo ou uma mensagem maliciosa. Isso cria pontos de bloqueio, como filtros de spam, treinamentos de segurança e a desconfiança natural com mensagens não solicitadas, que ajudam a barrar esses ataques.
O ChatGPhish muda esse fluxo, uma vez que o usuário não precisa receber nada. Ele apenas visita uma página durante a navegação normal e pede ao ChatGPT para ajudá-lo com uma tarefa cotidiana. O ataque acontece dentro de um fluxo de trabalho legítimo, em uma interface confiável.
)
A Permiso Security destaca que, à medida que mais pessoas usam o ChatGPT para pesquisa e resumo de conteúdo, qualquer página maliciosa que um funcionário peça ao assistente para processar pode conter instruções que transformam o ChatGPT em superfície de phishing.
O que os pesquisadores recomendam
O problema identificado não é exclusivo do Firefox, navegador usado nos testes. O browser apenas repassa o conteúdo da página para o ChatGPT. A questão central está na forma como o assistente trata esse conteúdo externo como confiável e o exibe sem separação visual clara entre o que ele gerou e o que veio da página.
)
Os pesquisadores apontam que, para mitigar o risco, seria necessário que sistemas como o ChatGPT distinguissem claramente o conteúdo gerado pelo assistente do conteúdo extraído de páginas externas, evitando que links e imagens de origem desconhecida sejam renderizados com o mesmo nível de confiança que uma resposta legítima do modelo.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.