Um golpe recente usou o chatbot Grok, da plataforma X, para espalhar links de phishing no Brasil — com risco concreto para usuários na Bahia. A técnica era simples, mas eficaz: endereços eram escondidos no campo técnico “from” e induziam o robô a republicar os links como se fossem parte do conteúdo original.
O que aconteceu
Golpistas publicaram vídeos atraentes com links ocultos e, em seguida, consultaram o chatbot sobre a origem do material. Ao ler essas mensagens, o bot passou a promover os endereços. Isso deu às fraudes uma aparência de confiança, já que os links ficaram associados a contas verificadas e até a posts patrocinados.
“Qualquer ferramenta de IA integrada a plataformas confiáveis está vulnerável a esse tipo de manipulação, mostrando o quanto criminosos buscam criar novas formas de driblar mecanismos de segurança e os riscos de confiar cegamente nos resultados da IA”, disse Camilo Gutiérrez Amaya, chefe do laboratório de pesquisa da ESET na América Latina.
A investigação da ESET indicou que a campanha teve alcance potencial de milhões de visualizações e representou alto risco de roubo de dados e de identidade. Os links redirecionavam usuários para formulários para capturar informações ou para arquivos com malwares capazes de invadir contas.
A empresa também revelou características claras do esquema: transformar um chatbot confiável em vetor de amplificação de phishing; usar vídeos pagos com potencial para atingir milhões de pessoas; e reforçar a “reputação” dos links ao associá‑los a resultados gerados por IA. Centenas de contas repetiram a prática até serem bloqueadas pela plataforma.
Pesquisas citadas pela ESET e por analistas mostram que esse tipo de ataque está crescendo. A consultoria Gartner apontou que 32% das empresas sofreram incidentes envolvendo IA generativa no último ano. Especialistas também relatam que criminosos passaram a ocultar mensagens em textos invisíveis ou em caracteres especiais, ampliando as vulnerabilidades de modelos de GenAI.
Como se proteger
O que você pode fazer na prática? Não é preciso ser especialista para reduzir riscos — basta adotar alguns hábitos simples.
- Passe o mouse sobre links antes de clicar, para conferir a URL;
- Use senhas fortes, únicas e gerenciadas por um cofre de senhas;
- Ative a autenticação multifator (MFA) sempre que possível;
- Mantenha sistemas e aplicativos atualizados para reduzir a exploração de vulnerabilidades.
O caso levou ao bloqueio das contas que repetiam o esquema e segue sendo monitorado por empresas de segurança digital e pela própria plataforma. Em resumo: a IA facilita muitas coisas — mas também exige atenção extra. Vale a pena checar duas vezes antes de clicar.
