Por 200 dólares por mês, qualquer pessoa pode hoje alugar uma fábrica de burlas. Foi isto, no essencial, que a Google descreveu ao avançar com um processo em tribunal contra a Outsider Enterprise, uma rede de cibercrime sediada na China que transformou inteligência artificial numa linha de montagem de fraude. O serviço vendia-se como qualquer outro software por subscrição, 88 dólares por semana ou 200 por mês, e entregava o que prometia: páginas de phishing (burlas que imitam um site de confiança para roubar dados) perfeitas, geradas em minutos a partir de mais de 290 modelos prontos a usar. E o motor que escrevia o código dessas páginas era, entre outros, o Gemini, a própria inteligência artificial da Google.
É aqui que a notícia deixa de ser sobre uma empresa e passa a ser sobre todos nós. O phishing não é novo. O que mudou, e mudou de vez, foi a barreira de entrada. Durante anos ensinámos as pessoas a reconhecer a burla pelos defeitos: o português estranho, os logótipos esticados, a página feia a cair aos bocados. Era esse o sinal de alarme. Quando uma máquina escreve o texto sem um único erro e clona o site ao pixel, esse sinal desaparece, e a fraude deixa de parecer fraude.
Os números de uma fábrica de fraude
Os valores do caso são difíceis de digerir. A Google liga esta operação a mais de nove mil sites falsos e a cerca de um milhão de endereços fraudulentos. Só em duas semanas de maio, utilizadores de Android sinalizaram 55 mil mensagens de spam, e a empresa associou dois milhões e meio de mensagens à infraestrutura do grupo. O FBI estima que a rede tenha permitido o roubo de 3,87 milhões de cartões de crédito e perdas de 1,9 mil milhões de dólares desde julho de 2023. E, segundo a queixa, o grupo coordenava-se «de forma descarada, em discussões abertas e pouco disfarçadas no Telegram». É, ao que tudo indica, a primeira vez que a Google vai a tribunal especificamente por causa do abuso do Gemini.
Porque é que isto te chega ao telemóvel
Para perceber porque é que isto nos toca tão de perto, basta olhar para o nosso telemóvel. A burla por SMS, o chamado smishing (phishing enviado por mensagem de texto), já é rotina em Portugal: a encomenda dos CTT «retida» que pede 0,59 euro de taxa, a mensagem em nome do Ministério da Saúde, o alerta falso da Chave Móvel Digital, o MB Way. A PSP, a GNR e a DECO andam há meses a avisar. E há um detalhe cruel: por uma técnica chamada spoofing, que falsifica o remetente, a mensagem fraudulenta cai muitas vezes na mesma conversa das mensagens verdadeiras do banco ou da transportadora. Junta a isto páginas clonadas por inteligência artificial, sem um erro que seja, e percebe-se o salto. O isco já era credível. O destino do isco passou a ser indistinguível do original.
A defesa mudou de eixo
A conclusão incomoda, mas é honesta: a defesa que ensinámos durante uma década está obsoleta. Continuar a repetir «desconfia se estiver mal escrito» é dar conselhos para uma guerra que já acabou. O eixo tem de mudar. Em vez de olhar para o aspeto da mensagem, olha para o canal por onde ela chegou. A pergunta deixa de ser «isto parece verdadeiro?» e passa a ser «fui eu que procurei isto, ou isto veio ter comigo?». Um link que aparece sem ser pedido, por mais perfeito que seja, é um estranho a bater à porta, e não se abre a porta a um estranho só porque ele está bem vestido.
Na prática, protege-te assim:
- Não clicar em links recebidos por SMS ou email para resolver «pendências»: abrir a aplicação ou o site oficial à mão, escrevendo o endereço.
- Reter a regra que não falha: uma transportadora, um banco ou o Estado nunca pedem dados nem pagamentos por mensagem.
- Ativar a autenticação de dois passos (2FA) no que for importante: mesmo que a senha caia, a conta resiste.
- Desconfiar da urgência: o «tens duas horas para pagar» existe para te roubar o tempo de pensar.
- Confirmar pelo canal oficial: na dúvida, usar o número do cartão ou do site verdadeiro, nunca o que vem na mensagem.
- Reportar: denunciar a mensagem à PSP ou ao CNCS (Centro Nacional de Cibersegurança) ajuda a travar a próxima vítima.
A parte difícil de aceitar é que nada disto é um problema do futuro. Já está nas nossas caixas de mensagens, todos os dias. A inteligência artificial não criou a ganância nem a mentira; deu-lhes escala industrial e apagou os erros que nos avisavam. A porta de entrada continua a ser a de sempre, o link e a pressa. O que mudou foi a tinta com que a pintaram.
Fonte original: Help Net Security; factos confirmados na TechCrunch e na documentação divulgada pela Google.
#StaySafe
🙏🖖
