CONTEXTO: A revista Exame noticiou o caso de um funcionário de uma multinacional financeira de Hong Kong que caiu em um golpe com Inteligência Artificial (IA). O trabalhador foi convocado para uma videoconferência, supostamente, por seu CFO (chief financial officer) e, durante o encontro – que contou com a participação de outros colegas –, foi orientado a fazer uma transação de aproximadamente R$ 124 milhões. Mas nem o CFO nem os colegas eram reais, e sim uma emulação feita com a tecnologia deepfake (uso de IA para trocar o rosto de pessoas em vídeos, sincronizar movimentos labiais, expressões e demais detalhes).
Você está recebendo uma ordem de seu superior. Será real ou apenas realista?
Cibercriminosos estão utilizando ligações de videoconferência e Inteligência Artificial para aplicar golpes financeiros.
Recentemente, um funcionário de um grupo financeiro em Hong Kong transferiu mais de US$ 25 milhões para golpistas, depois que eles se passaram por seu diretor financeiro e outros colegas em uma videoconferência, marcando talvez a maior fraude corporativa conhecida usando tecnologia deepfake até o momento. O funcionário suspeitou de um e-mail solicitando uma transação secreta, mas os golpistas pareciam tão convincentes na videoconferência que ele realizou a transferência.
‘Deepfakes’ são usados em fraudes desde 2023
A fraude em Hong Kong certamente utilizou deepfakes em tempo real de forma bastante realista. O falso diretor e os colegas pareciam ouvir, conversavam e acenavam com a cabeça durante toda a reunião.
De acordo com David Maimon, professor de criminologia da Georgia State University, os fraudadores on-line têm usado deepfakes em tempo real em videochamadas desde pelo menos o ano passado, para fraudes em menor escala, incluindo golpes românticos.
A atual ascensão das tecnologias deepfakes e suas implicações no ambiente corporativo demandam uma reflexão cuidadosa sobre a autenticidade das interações, especialmente em plataformas de videoconferência, mensagens de voz e vídeos enviados via aplicativos de redes sociais.
Este é um caso que explora técnicas de phishing, autoridade formal e submissão, as duas últimas intimamente ligadas ao fator humano.
7 dicas para não cair em golpes
Abaixo está o que a vítima de Hong Kong poderia ter feito para detectar a fraude, e o que todos nós precisamos ter consciência e estar vigilantes:
1. Use dicas visuais para verificar com quem você está interagindo; deepfakes ainda não conseguem fazer movimentos complexos em tempo real
Em caso de dúvida, peça ao seu interlocutor da videoconferência para escrever uma palavra ou frase em um pedaço de papel e mostrá-la para a câmera. Você pode pedir que ele pegue um livro próximo ou realize um gesto único, como tocar a orelha ou acenar com a mão, o que pode ser difícil para os deepfakes replicarem de forma convincente em tempo real.
2. Atenção com os movimentos da boca e o som gerado
Fique atento a discrepâncias na sincronização labial ou expressões faciais estranhas que vão além de uma típica falha de conexão.
3. Empregue autenticação multifator
Para reuniões confidenciais, considere envolver uma conversa secundária via e-mail, SMS ou um aplicativo autenticador, para garantir que os participantes sejam quem afirmam ser.
4. Use outros canais seguros
Para reuniões críticas que envolverão informações confidenciais ou transações financeiras, você e os outros participantes poderão verificar suas identidades por meio de um aplicativo de mensagens criptografadas, como o Signal, ou confirmar decisões como transações financeiras por meio desses mesmos canais.
5. Mantenha o ‘software’ de videoconferência atualizado
Certifique-se de usar a versão mais recente do seu software de videoconferência, caso ele incorpore recursos de segurança para detectar deepfakes.
6. Evite plataformas de videoconferência desconhecidas
Especialmente para reuniões confidenciais, use plataformas conhecidas, como Zoom ou Google Meet, que possuem medidas de segurança relativamente fortes.
7. Esteja atento a atividades e comportamentos suspeitos
Algumas estratégias resistem ao teste do tempo. Tenha cuidado com pedidos urgentes de dinheiro, reuniões de última hora que envolvam grandes decisões ou mudanças no tom, na linguagem ou no estilo de falar de uma pessoa. Os golpistas costumam usar táticas de pressão; portanto, tome cuidado também com qualquer tentativa de tomar uma decisão precipitada.
Conclusão
A conscientização e a adoção de práticas de segurança rigorosas são essenciais para enfrentar os desafios apresentados pela crescente sofisticação das deepfakes. À medida que nos adaptamos a essa nova era de ceticismo digital, medidas preventivas e a disseminação de conhecimento são cruciais para proteger organizações contra fraudes e ataques baseados em Inteligência Artificial.
Texto adaptado da edição de 9 de fevereiro de 2024 da nossa newsletter semanal. Inscreva-se para acessar em primeira mão.