Os deepfakes invadiram a consciência dos consumidores e das empresas devido à sua crescente sofisticação. De acordo com os pesquisadores da Check Point Software, a capacidade de imitar um ser humano com uma qualidade superior é agora mais possível que nunca.
Os pesquisadores voltaram a analisar os deepfakes e descobriram que, em 30 segundos ou menos de conversa sobre qualquer assunto, qualquer pessoa com as ferramentas de IA necessárias pode criar um deepfake a partir da uma voz a respeito de qualquer tema que desejar, durante o tempo que quiser, praticamente sem custos. Isto é um fator de mudança, e atualmente o mesmo se aplica ao vídeo.
Eles observaram que o número de ataques de deepfake (bem-sucedidos) é fenomenal. De acordo com um relatório da Sumsub Research realizado no ano passado, os incidentes globais de deepfake aumentaram dez vezes de 2022 para 2023, com a América do Norte registrando o maior crescimento de ataques de deepfake, com 1740%, enquanto a região da América Latina registrou 410%.
Para as empresas, uma das principais preocupações é saber se um executivo pode ser objeto de um deepfake convincente – ou se um funcionário “privilegiado” pode ser enganado por ações, vídeo e voz falsos.
No início deste ano, um funcionário do setor financeiro em Hong Kong foi enganado a ponto de aprovar um pagamento de US$ 25 milhões por meio de uma elaborada videoconferência com um deepfake do CFO (Chief Financial Officer) da empresa. Ele solicitou uma reunião via Zoom em resposta a uma solicitação de transferência de dinheiro e só enviou a quantia após falar com quem ele pensava que era o diretor financeiro e vários outros colegas na mesma ligação, todos deepfakes. O caso destacou de forma nítida a evolução da tecnologia e seu potencial como um novo vetor de ameaça para fraudes empresariais.
Os impactos de negócios significativos associados ao uso malicioso de deepfakes têm levado pessoas e empresas a perguntarem o que podem fazer para se protegerem, bem como as suas operações. Como podem descobrir se a pessoa do outro lado de uma videoconferência é real e não uma criação de IA?
Em um nível mais elevado, a situação requer que as pessoas estejam vigilantes e realizem algumas verificações de senso comum. Em todas as circunstâncias, as pessoas tendem a avaliar o que está diante de seus olhos e fazer determinadas avaliações de risco e julgamentos.
Da mesma forma que as pessoas verificam a veracidade de um e-mail ou seu conteúdo – checando a identidade do remetente, passando o mouse sobre a URL ou arquivo anexado, examinando o estilo e a gramática –, elas podem se beneficiar ao aplicar o mesmo tipo de abordagem às videoconferências atuais.
Essa triangulação de pistas e fatores de risco é uma espécie de “autenticação de múltiplos fatores” que agora precisa ser realizada de forma mais consciente em ambientes de trabalho.
Dicas e truques
Assim, existem algumas verificações que os funcionários de empresas e pessoas comuns podem realizar para detectar um deepfake ou que os alertem para uma tentativa de golpe mais sofisticada que faça uso da tecnologia de deepfake.
A primeira delas é realizar uma rápida verificação de “vivacidade”, ou seja, pedir à pessoa do outro lado do vídeo para virar a cabeça de um lado para o outro. Atualmente, isso é eficaz porque as ferramentas de IA generativas usadas para produzir deepfakes não criam uma semelhança tridimensional ou de 360 graus da pessoa, apenas imagens planas voltadas para a frente.
Visualizações laterais da cabeça e do rosto não serão imagens renderizadas ou exibidas corretamente. Portanto, se os funcionários suspeitarem de algo, deverão pedir à pessoa para virar para a esquerda ou para a direita e, se o rosto desaparecer, desligar a videoconferência.
Da mesma forma, outros comportamentos humanos naturais frequentemente observados em videoconferências – como alguém levantar a mão para coçar ou tocar a cabeça, por exemplo – também não serão exibidos corretamente com um deepfake.
Isso é eficaz hoje, mas pode não ser amanhã. O ritmo acelerado do desenvolvimento de IA generativa significa que as ferramentas ficarão melhores na criação de semelhanças mais realistas de pessoas e de seus modos, o que poderia tornar a verificação de vivacidade mais desafiadora ao longo do tempo.
A segunda dica tem a ver com o fato de os funcionários serem capazes de identificar pistas adicionais de que uma videoconferência com um executivo não parece ser o que é. Uma verificação útil ao receber um link de videoconferência, ou ao participar de uma chamada com várias partes, é verificar se os participantes estão usando uma versão licenciada corporativa desse software.
Isso muitas vezes é óbvio porque as empresas usam uma “URL de vaidade” – nomedaempresa[.]plataformadevideo[.]com – para mostrar de onde a chamada está sendo realizada. A confiança pode ser ainda mais estabelecida ao comunicar com antecedência, por meio de um método diferente como chat ou e-mail, como as pessoas participarão da videoconferência.
Ao saber com antecedência que receberá um convite de videoconferência de um determinado domínio da empresa, isso deverá ser levado em consideração para decidir se aceita ou não a reunião. Se a reunião for iniciada de uma conta pessoal, ou se alguém se juntar inesperadamente e sem explicação de uma conta pessoal, pode ser um sinal de alerta. Então, vale a pena justificar com pelo menos uma ou duas perguntas ou algumas verificações adicionais.
Uma terceira estratégia útil é ter códigos internos acordados que precisam ser verificados fora do circuito antes de certas ações serem realizadas, como uma transferência de dinheiro. No caso do funcionário de Hong Kong, isso significaria enviar uma mensagem ao CFO com o qual pensava estar conversando por meio de um canal completamente diferente e perguntar: “Qual é a palavra?”. A resposta que receberia de volta rapidamente lhe diria se o “CFO” – a partir do pedido ou pergunta que está sendo feito – é genuíno.
Os funcionários devem permanecer continuamente cautelosos e alertas, bem como empregar todas as maneiras à sua disposição e permanecerem atualizados com a evolução da tecnologia de IA, para lidar com a ameaça ao se depararem com um deepfake. Seus esforços podem ser eficazmente apoiados por organizações que implementam soluções de cibersegurança, incluindo proteções de e-mail robustas, que podem detectar e prevenir muitos convites maliciosos de reuniões antes de serem entregues nas caixas de entrada. Dada a realidade da ameaça, é importante ter proteções abrangentes em vigor e atitudes simples, mas valiosas, para não cair em golpes deepfakes.
Imagem: Divulgação.