Como um Génio da IA Usou o ChatGPT para Dar a Volta a um Burlão

Em resumo

• Um trabalhador de TI em Deli afirma ter usado o ChatGPT para criar um site de pagamentos falso que capturou a localização e a foto de um burlão durante uma tentativa de fraude de “transferência militar”.
• A publicação no Reddit tornou-se viral depois de o burlão alegadamente ter entrado em pânico e implorado por misericórdia ao ser confrontado com os seus próprios dados.
• Outros utilizadores do Reddit replicaram a técnica e confirmaram que o código gerado por IA pode funcionar, sublinhando como as ferramentas generativas estão a transformar o scambaiting DIY.

Centro de Arte, Moda e Entretenimento da Decrypt.

Descubra SCENE

Quando uma mensagem surgiu no seu telemóvel de um número que alegava ser de um antigo contacto universitário, um profissional de tecnologia de informação sediado em Deli ficou inicialmente intrigado. O remetente, fazendo-se passar por um oficial do Serviço Administrativo Indiano, alegava que um amigo das forças paramilitares estava a ser transferido e precisava de liquidar móveis e eletrodomésticos de luxo “a preço de saldo”.

Era uma fraude clássica de “transferência militar”, um esquema digital muito comum na Índia. Mas, em vez de bloquear o número ou ser vítima do esquema, o alvo afirma ter decidido dar a volta à situação usando precisamente a tecnologia tantas vezes acusada de ajudar os cibercriminosos: a inteligência artificial.

A enganar o burlão

De acordo com um relato detalhado publicado no Reddit, o utilizador, conhecido pelo nome u/RailfanHS, usou o ChatGPT da OpenAI para “codificar por feeling” um site de rastreamento. A armadilha conseguiu recolher a localização do burlão e uma fotografia do seu rosto, levando a um confronto digital dramático onde o fraudador, alegadamente, implorou por misericórdia.

Embora a identidade do utilizador do Reddit não tenha sido verificada de forma independente, e o indivíduo em questão permaneça anónimo, o método técnico descrito na publicação foi analisado e validado pela comunidade de programadores e entusiastas de IA da plataforma.

O incidente destaca uma tendência crescente de “scambaiting”—justiça vigilante em que pessoas com conhecimentos técnicos enganam burlões para lhes fazerem perder tempo ou exporem as suas operações—que está a evoluir com a ajuda da IA generativa.

O encontro, que foi amplamente divulgado na Índia, começou com um guião familiar. O burlão enviou fotos de bens e um código QR, exigindo um pagamento adiantado. Fingindo dificuldades técnicas com o scan, u/RailfanHS recorreu ao ChatGPT.

Deu ao chatbot de IA um prompt para gerar uma página web funcional desenhada para imitar um portal de pagamento. O código, descrito como uma “página PHP de 80 linhas”, foi secretamente desenhado para capturar as coordenadas GPS do visitante, o endereço IP e uma fotografia da câmara frontal.

O mecanismo de rastreamento dependia tanto da engenharia social como do aproveitamento de software. Para contornar as funcionalidades de segurança dos browsers que normalmente bloqueiam o acesso silencioso à câmara, o utilizador disse ao burlão que precisava de carregar o código QR no link para “acelerar o processo de pagamento”. Quando o burlão visitou o site e clicou num botão para carregar a imagem, o browser pediu-lhe autorização para aceder à câmara e à localização—permissões que concedeu inadvertidamente, na pressa de garantir o dinheiro. Imagem: RailfanHS no Reddit

“Impulsionado pela ganância, pela pressa e confiando completamente na aparência de um portal de transações, ele clicou no link”, escreveu u/RailfanHS na thread do subreddit r/delhi. “Recebi instantaneamente as suas coordenadas GPS em tempo real, o seu endereço IP e, mais satisfatório ainda, uma foto nítida da câmara frontal dele sentado.”

A retaliação foi imediata. O profissional de TI enviou os dados recolhidos de volta ao burlão. O efeito, segundo a publicação, foi de pânico imediato. As linhas telefónicas do fraudador inundaram o utilizador com chamadas, seguidas de mensagens a pedir perdão e a prometer abandonar a vida de crime.

“Ele estava agora a implorar, a insistir que abandonaria completamente este tipo de trabalho e a pedir desesperadamente uma segunda oportunidade”, escreveu RailfanHS. “Escusado será dizer que provavelmente estaria a burlar outra pessoa na hora seguinte, mas, caramba, a satisfação de roubar um ladrão é incrível.”

Redditors validam o método

Embora contos dramáticos de justiça na internet suscitem frequentemente cepticismo, os fundamentos técnicos desta armadilha foram validados por outros utilizadores na thread. Um utilizador com o nome u/BumbleB3333 relatou ter conseguido replicar com sucesso a “página HTML dummy” usando o ChatGPT. Notaram que, embora a IA tenha salvaguardas contra a criação de código malicioso para vigilância silenciosa, gera facilmente código para sites com aparência legítima que solicitam permissões ao utilizador—foi assim que o burlão foi apanhado.

“Consegui criar uma espécie de página HTML dummy com o ChatGPT. Ela de facto capta a geolocalização quando uma imagem é carregada após pedir permissão”, comentou u/BumbleB3333, confirmando a plausibilidade do esquema. Outro utilizador, u/STOP_DOWNVOTING, afirmou ter gerado uma “versão ética” do código que poderia ser modificada para funcionar de forma semelhante.

O autor original, que se identificou nos comentários como gestor de produto de IA, reconheceu que teve de usar prompts específicos para contornar algumas das restrições de segurança do ChatGPT. “Já estou habituado a contornar estas salvaguardas com os prompts certos”, notou, acrescentando que alojou o script num servidor privado virtual.

Especialistas em cibersegurança alertam que, embora estas “hack-backs” sejam satisfatórias, operam numa zona legal cinzenta e podem acarretar riscos. Ainda assim, é bastante tentador—e faz um espetáculo interessante para quem assiste.