Como golpes sofisticados de deepfake visam extrair milhões de empresas de construção

Os chefes da empresa de engenharia Arup em Hong Kong certamente o fizeram. Em fevereiro, eles disseram que criminosos usaram a tecnologia em um golpe sofisticado, convencendo um infeliz funcionário a pagar milhões de dólares em contas falsas.

Os criminosos supostamente conseguiram isso ao se passarem por várias figuras seniores da empresa em uma chamada online. Embora os detalhes de como exatamente o golpe funcionou não tenham sido confirmados, acredita-se que as vozes da gerência da empresa foram "clonadas", permitindo que os criminosos soassem familiares ao funcionário. Não se acredita que o vídeo - que requer tecnologia mais sofisticada - estivesse envolvido.

As vozes clonadas – se é que foi assim que os criminosos suspeitos aplicaram o golpe – são um exemplo de tecnologia deepfake, que, juntamente com a inteligência artificial (IA), está se desenvolvendo em ritmo alucinante.

Definida como mídia sintética que foi manipulada digitalmente para substituir a imagem de uma pessoa de forma convincente pela de outra (seja sua voz, sua aparência ou ambos), a tecnologia por trás dos deepfakes é complexa.

Novas tecnologias, velhos truques

Mas, como explicam os especialistas em segurança online Richard Hughes e Hodei Lopez, da empresa global de serviços de TI A&O IT Group , embora os golpes de deepfake sejam algo relativamente novo, eles dependem de uma fórmula testada e comprovada que envolve engenharia social.

O phishing por e-mail, com o qual a maioria das pessoas agora está bem familiarizada, segue o mesmo formato. Da mesma forma que um e-mail que parece ser de uma empresa ou contato confiável pede ao destinatário para clicar em um link duvidoso ou preencher um formulário, o deepfake aumenta essa sensação de familiaridade ao criar uma representação plausível de uma pessoa real conhecida pela vítima antes de tirar vantagem de sua confiança e boa vontade para dar aos criminosos o que eles querem.

“Nós desenvolvemos lentamente a habilidade de não confiar em phishing porque ele é tão onipresente hoje em dia”, diz Lopez. “Então a abordagem mais recente vai um passo além.”

Se a ideia de criminosos serem capazes de descobrir a aparência e o som de pessoas específicas dentro de uma empresa e então criar semelhanças convincentes delas parece absurda ou difícil de ser concretizada, então considere quanta informação sobre indivíduos está disponível online hoje em dia.

“Nossas personas são muito públicas hoje em dia, principalmente se você estiver nos níveis mais altos da C-suite”, diz Hughes. “Você provavelmente já fez apresentações ou palestras em vídeo. Sua voz terá sido ouvida. Quanto mais imagens você conseguir de uma pessoa, melhor será a qualidade do vídeo. Quanto mais amostras de sua fala, melhor será a qualidade do áudio. Eu poderia ter uma conversa com você e capturar sua voz. Não é muito difícil.”

Embora não sejam necessariamente muito complexos, os golpes de deepfake precisam ser bem organizados, ele diz. “Muitos ransomwares são enviados para um milhão de pessoas e uma ou duas podem responder – não é nem um pouco direcionado. Com deepfakes, os criminosos precisam ter um plano que eles colocam em ação e ele certamente é direcionado. Essa é a diferença.”

As empresas de construção são um alvo

Se mais alguma prova for necessária além do ataque do qual a Arup foi vítima, as empresas de construção têm pelo menos a mesma probabilidade de serem alvos de golpistas de deepfake quanto as empresas de qualquer outro setor.

Os criminosos estão realmente preocupados apenas com a probabilidade de seu plano dar certo e vão atrás de pontos fracos, diz Lopez.

“Eles mirarão em ambientes que podem ser tecnologicamente menos avançados, como construção, por exemplo”, ele explica. “Dentro desse ambiente, eles tentarão encontrar pessoas que sejam possivelmente mais velhas ou menos conscientes tecnologicamente ou podem mirar em regiões que sejam menos inclinadas à tecnologia.”

E em uma analogia adequada para este setor, ele acrescenta: "Se a segurança é uma parede de tijolos, nosso trabalho é manter a totalidade da parede. Isso é difícil porque há muitos tijolos - se eles encontram apenas um único tijolo solto, eles simplesmente o arrancam.

“Eles podem mirar em uma pessoa que esteja perto de uma posição de poder – uma secretária que pode ser um pouco menos consciente tecnologicamente e disposta a ajudar com uma consulta de algum tipo. Então eles usam essa empatia para atropelar a pessoa.”

Como estar em guarda

Quando se trata de como proteger sua empresa contra ataques deepfake, Hughes afirma que prevenir é melhor que remediar.

Lopez ressalta: “O grande problema com todos esses tipos de tentativas de engenharia social é que elas estão colocando você em uma situação de pressão: 'Preciso que isso seja feito agora ou perderemos negócios.' Ouvir: 'Precisamos que isso seja feito agora' faz você perder todas as habilidades de pensamento crítico que desenvolveu.”

Os funcionários precisam ser encorajados a questionar o que lhes é pedido para fazer. Enquanto isso, a gerência precisa garantir que seja acessível o suficiente para que as pessoas sintam que podem questionar tais solicitações.

Imagem: weerapat1003 via AdobeStock - stock.adobe.com

Pelo menos quando se trata de vídeo, deepfakes ainda podem oferecer sinais reveladores de que não são reais, pelo menos por enquanto. Como um vídeo deepfake envolve sobrepor um rosto falso em cima de uma pessoa real na frente de uma câmera, haverá desfoque ou artefatos que aparecem quando o sujeito toca sua cabeça ou rosto.

“Mas para pessoas menos técnicas, elas estão vendo uma pessoa que reconhecem e tudo isso vai por água abaixo”, diz Hughes.

Em todo caso, como a clonagem de voz (seja texto para voz ou voz para voz ao vivo) é mais madura e menos intensiva tecnologicamente, os golpes têm mais probabilidade de envolver voz do que vídeo ao vivo, o que é mais complicado de ser feito com sucesso. E é muito mais difícil de detectar, principalmente em uma chamada telefônica em que a qualidade do áudio é geralmente menor ou ruído de fundo foi adicionado.

Hughes defende treinamento regular sobre o que procurar. “Tendemos a pensar que seis meses é o máximo que você pode passar sem precisar de algum reforço”, ele diz. Mais do que isso e as pessoas tendem a esquecer dos riscos, ele alerta.

Ele também recomenda cartazes em refeitórios e cozinhas para reforçar a mensagem, e até mesmo mensagens nos fundos dos computadores da empresa, mudando a cada poucas semanas, se a empresa for grande o suficiente para gerenciá-las centralmente.

Lopez também recomenda reforçar os processos da empresa com a segurança em mente. “Por exemplo, se você estiver fazendo uma grande transação financeira, talvez deva haver um mecanismo extra onde ela tenha que ser verificada por várias pessoas. Ou talvez deva haver uma etapa extra que uma pessoa em uma posição de liderança tenha que tomar, como confirmar por SMS, antes que ela possa ser realizada.”

No caso de criminosos pedindo às vítimas para fazerem pagamentos, uma vez que o dinheiro esteja na conta delas, então é quase certamente tarde demais, diz Hughes. "Esses caras são bem organizados. Se você deposita dinheiro em uma conta bancária, então ele provavelmente desaparece em segundos depois de cair naquela conta.

“Portanto, é uma questão de primeiro educar as pessoas para identificar a ameaça e, em segundo lugar, revisar seus processos para garantir que, se você estiver sendo encorajado a fazer algum tipo de transação que você acha que pode ser um pouco duvidosa, seja mais difícil fazê-la imediatamente.”

Ele conclui: “Só vai piorar à medida que a tecnologia melhora. Qualquer um que tenha uma máquina de jogo razoável pode executar um deepfake. Vimos uma tendência ascendente massiva na engenharia social em geral durante a covid e ela realmente não se estabilizou. É um negócio no final do dia - um com um retorno massivo sobre o investimento.”

Funcionário da Arup é vítima de golpe de US$ 25 milhões em videochamadas deepfake A empresa de engenharia Arup confirmou que um de seus funcionários em Hong Kong foi vítima de uma videochamada deepfake que os levou a transferir HK$ 200 milhões (US$ 25,6 milhões) do dinheiro da empresa para criminosos