Não é de hoje que, devido ao avanço de ferramentas de inteligência artificial (IA) e outros recursos tecnológicos, o simples ato de pré-visualizar um link no seu celular pode virar motivo de preocupação de segurança. Isso porque já existem diversos golpes digitais na ativa que usam o recurso de clique zero para roubar dados de usuários em um piscar de olhos.
- Olhou, vazou: ataque em IA rouba seus dados sem você clicar em nada
- Extensões falsas de IA no Chrome roubam credenciais pelo e-mail das vítimas
Pode até parecer coisa de filme de ficção científica, mas casos envolvendo roubo de informações sigilosas na internet a partir da pré-visualização de links em aplicativos de mensagem vem se tornando cada vez mais frequentes hoje em dia. Basta que você olhe para esse link malicioso para que sua privacidade seja violada.
Muitas vezes, esses ataques vêm de onde menos esperamos a partir do uso de ferramentas de inteligência artificial (IA), cujos assistentes virtuais sofrem uma injeção de prompt que manipula o sistema para coletar informações sensíveis dos usuários. Dessa forma, os criminosos conseguem preparar uma armadilha perfeita para sequestrar seus dados sem que você precise ao menos encostar no seu mouse.
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
Mas como isso é possível? Simples: usando o link unfurling. Para entender mais sobre o assunto, o Canaltech explica a seguir como o desdobramento de links pode virar uma arma para coletar vítimas em grande escala.
O que é link unfurling?
Se você é usuário assíduo da internet, com certeza já deve ter reparado que, quando você cola um link em apps de mensagem, como WhatsApp, Slack ou Discord, geralmente aparece uma imagem, um título e um resumo do site em questão. Isso pode até parecer mágica, mas é um recurso legítimo que tem nome e sobrenome: link unfurling.
Em linhas gerais, link unfurling (ou desdobramento de link, em bom português) é um recurso que transforma URLs coladas em chats e redes sociais em pré-visualizações. Na prática, isso significa que o link estático é substituído por uma espécie de card interativo que fornece um panorama geral daquilo que a pessoa vai encontrar ao clicar no endereço.
Embora seja uma ferramenta verídica e bastante útil no dia a dia, ela também pode representar uma ameaça devido à sua própria infraestrutura, já que, no caso de uma injeção de prompt em conversas com IAs, por exemplo, o link que é verificado pelos aplicativos antes de aparecer para o usuário está comprometido por um agente malicioso. E é aí que mora o perigo.
O comando secreto
Parte de uma tendência preocupante envolvendo o uso de IAs por criminosos na aplicação de golpes digitais, a injeção de prompt para corromper o processo de pré-visualização de links ocorre por meio de uma série de ações maliciosas que resultam no roubo de informações sigilosas do usuário sem precisar de interação.
Para começar, o hacker nem ao menos precisa mandar o link diretamente para a vítima: ao invés disso, ele manda um comando malicioso para uma IA, seja ela o ChatGPT, Claude ou Gemini, que, neste cenário, está integrada a um aplicativo de mensagem.
Esse script pode solicitar à IA que envie uma mensagem ao usuário fingindo ser o suporte técnico de algum serviço, por exemplo, mostrando o link para a vítima em potencial. O truque está na camuflagem da URL real, que pelo recurso de pré-visualização não aparece para o alvo.
Assim que a inteligência artificial obedece, o aplicativo de mensagem visado verifica o link e, automaticamente, transforma a URL em um card interativo. Como o seu app já acessou o site comprometido para fazer a verificação do link, basta que você olhe para a mensagem para que seus dados sejam vazados.
Como os dados vazam sem login?
Como dito anteriormente, o vazamento de informações sensíveis por meio da pré-visualização de links não ocorre por magia ou alguma tecnologia que só existe em filmes de sci-fi. Na verdade, o que ocorre é mais pé no chão do que essas alternativas.
Basicamente, quando um aplicativo faz a requisição para gerar a pré-visualização de um link, acontece um processo de extração de metadados do dispositivo que possibilita a captação de dados confidenciais da vítima, como credenciais de login e chaves de API. Em ambientes corporativos, o estrago pode ser ainda maior, já que links internos de empresas podem ser acessados livremente pela IA comprometida.
Considerando que a URL pode ser parametrizada dinamicamente, o ataque realiza o trabalho “sozinho” a partir de uma busca automática com base em requisições do hacker, que finaliza o golpe sem precisar que o usuário clique no link.
O que fazer para se proteger
Por mais que a pré-visualização seja visualmente mais interessante do que a simples apresentação do link na mensagem, ela também virou uma arma na mão de cibercriminosos que querem roubar as suas informações a qualquer custo.
Logo, saber como se proteger dessa ameaça é fundamental para manter a integridade das suas informações no ambiente online. A principal delas é se basear no conceito de zero trust: “nunca confie, sempre verifique”. Partindo do princípio de que ameaças podem vir de qualquer lugar, é imprescindível desconfiar de tudo que chega até você, mesmo que pareça vir de uma fonte legítima.
No dia a dia, também vale desativar o recurso de pré-visualização de links para evitar que seus dados sejam comprometidos só de olhar para uma URL maliciosa.
Leia também:
- Senhas geradas pelo ChatGPT e Gemini não são seguras, alertam especialistas
- Hackers usam "avô do Discord" para criar exército zumbi em PCs Linux
- Hackers usam apps de monitoramento do seu chefe para invadir seu PC
Leia a matéria no Canaltech.