Os golpistas adoram semear na Internet números falsos de atendimento ao cliente, a fim de atrair vítimas inocentes que estão apenas tentando consertar algo errado em suas vidas. Os vigaristas fazem isso na Pesquisa Google há anos, então faz sentido que eles tenham migrado para o espaço mais recente onde as pessoas procuram informações com frequência: os chatbots de IA.
A empresa de segurança cibernética de IA Aurascape tem um novo relatório sobre como os golpistas são capazes de injetar seus próprios números de telefone em sistemas baseados em LLM – resultando em números fraudulentos aparecendo como respostas que parecem confiáveis a solicitações de informações de contato em aplicativos de IA como Perplexity ou Google AI Overviews. E quando alguém liga para esse número, não está falando com o suporte ao cliente, digamos, da Apple. Eles estão conversando com os golpistas.
De acordo com a Aurascape, os golpistas são capazes de fazer isso por meio de uma ampla variedade de táticas diferentes. Uma maneira é plantar conteúdo de spam em sites confiáveis, como sites governamentais, universitários e de alto perfil que usam WordPress. Este método requer acesso de maneiras que podem ser mais difíceis, mas não impossíveis.
A versão mais fácil disso é plantar conteúdo de spam em plataformas geradas por usuários, como YouTube e Yelp, ou outros sites que permitem análises. Os golpistas inserem seus números de telefone, mas incluem todos os termos de pesquisa prováveis que permitiriam que o número encontrasse o alvo pretendido, como “número de suporte ao cliente da Delta Airlines” e inúmeras variações.
Tudo isso é normal para golpistas que tentam aproveitar os resultados da Pesquisa Google. Mas a Aurascape observa que é a estrutura dos dados que pode diferenciá-los dos LLMs. Ao postar os termos de pesquisa prováveis nos formatos de resumo que a IA adora oferecer, há uma chance maior de sucesso à medida que esses chatbots de IA vasculham a Internet em busca de uma resposta.
O novo relatório refere-se à Generative Engine Optimization (GEO) e à Answer Engine Optimization (AEO) como distintas do SEO, persuadindo a IA a recuperar o conteúdo e tratá-lo como confiável devido à forma como está sendo apresentado. Para ser claro, os resultados fraudulentos no relatório Aurascape estão simplesmente sendo recuperados e reproduzidos no contexto de um resultado de IA individual, não corrompendo o próprio LLM.
“Para o SEO tradicional, o objetivo é aparecer no topo de uma lista de resultados de pesquisa”, explica a empresa. “Para GEO/AEO, o objetivo é mais direto: ser o único conteúdo que o assistente de IA escolhe, resume e apresenta como ‘a resposta’.”
Conforme detalhado no relatório, os golpistas utilizam técnicas GEO/AEO em HTML e PDFs carregados em sites de alta confiança por:
- Combinando o redação exata de prováveis perguntas dos usuários
- Usando perguntas e respostas simples ou formatos de lista que são fáceis de serem analisados pelos modelos
- “Número de telefone de reservas da Emirates: +1 (833) 621‑7070”
- Repetir várias vezes o mesmo nome de marca e número de telefone no documento
- Incorporar o conteúdo em domínios confiáveis ou de alta autoridade (por exemplo, .gov, .edu comprometidos ou sites WordPress populares)
Esse número de reserva da Emirates é um dos muitos exemplos que a Aurascape usa no relatório para mostrar como a Perplexity entregou um número de telefone fraudulento durante os testes. O recurso AI Overviews do Google também forneceu números falsos.
O Gizmodo fez alguns testes rápidos e não conseguiu duplicar um número falso de suporte ao cliente. Mas parece bastante claro que as empresas de IA estão começando a prestar atenção, especialmente tendo em conta os testes específicos realizados para este relatório Aurascape.
Quando o Gizmodo pediu à Perplexity o número de suporte ao cliente da Emirates Airlines, o bot respondeu:
A maneira mais segura de entrar em contato com a Emirates para fazer reservas é usar os canais de contato oficiais listados no site da Emirates, em vez de números de terceiros que aparecem nos resultados de pesquisa ou PDFs, que geralmente são spam ou linhas de agências deturpadas como “oficiais”.
O Gizmodo pressionou para que o bot apenas nos desse o número, mas ele respondeu:
Existem vários números conflitantes de “reservas da Emirates” online, e muitos deles são, na verdade, agências terceirizadas e não a própria Emirates, portanto, nenhum dos números +1-(8xx) mostrados nos guias genéricos pode ser considerado uma linha oficial.
O bot nos disse para visitar emirates.com para encontrar o número. E achamos que essa é uma maneira de lutar contra o seu chatbot de IA que espalha informações erradas e spam. Basta impedir que ele espalhe tipos específicos de informação.
Em 2022, escrevemos sobre os diferentes sites fraudulentos que conseguiram fazer com que as vítimas baixassem o que elas pensavam serem drivers de impressora Canon. Embora o novo relatório da Aurascape não tenha abordado os drivers para download como um potencial vetor de ataque, podemos imaginar que isso seria algo que os golpistas já estão tentando.
Afinal, os chatbots de IA só devem ser confiáveis quando mostram seu trabalho. Mas o outro lado disso é a necessidade do chatbot fornecer hiperlinks onde as informações possam ser verificadas novamente. Ou, nesta hipótese, onde o software poderia ser baixado. Apenas certifique-se de examinar esse URL com cuidado. Há uma grande diferença entre usa.canon.com e canon.com-ijsetup.com. Este último é um site de phishing.
“Nossa investigação mostra que os agentes de ameaças já estão explorando essa fronteira em grande escala – espalhando conteúdo envenenado em sites governamentais e universitários comprometidos, abusando de plataformas geradas por usuários como YouTube e Yelp e criando spam otimizado para GEO/AEO projetado especificamente para influenciar como grandes modelos de linguagem recuperam, classificam e resumem informações”, escreveu Aurascape.
“O resultado é uma nova classe de fraude na qual os próprios sistemas de IA se tornam amplificadores involuntários de números de telefone fraudulentos. Mesmo quando os modelos fornecem respostas corretas, suas citações e camadas de recuperação muitas vezes revelam exposição a fontes poluídas. Isso nos diz que o problema não está isolado de um único modelo ou fornecedor — ele está se tornando sistêmico.”
