A nova era da engenharia social?
Um relatório de 2020 do Centro de IA e Robótica do Instituto Inter-regional de Pesquisa sobre Crime e Justiça das Nações Unidas identificou tendências em fóruns clandestinos relacionadas ao abuso de inteligência artificial (IA) ouaprendizado de máquina, que podem ganhar grande impulso em um futuro próximo. Entre essas tendências, ele destacou a personificação humana em plataformas de mídia social. Hoje, esse futuro já é uma realidade, e tudo o que poderia ter sido previsto está acontecendo e superou as expectativas.
Na interseção entre a inovação tecnológica e as táticas criminosas, surgem fenômenos preocupantes, como o uso de deepfakes e vishing(phishing por voz ).
Ambas as modalidades são versões modernas de golpes de impostores (ou, como também são conhecidos no Uruguai, "el cuento del tío"). Essa é uma tática em que o fraudador se faz passar por uma pessoa, geralmente muito próxima da vítima, para enganá-la em busca de dinheiro.
Em 2022Em 2022, os golpes desse tipo foram a segunda categoria de fraude mais relatada nos Estados Unidos, com perdas de US$ 2,6 bilhões.
Poderíamos considerar esses golpes como usos modernos da engenharia social. De acordo com a Knowbe4, a primeira plataforma de treinamento de phishing e conscientização de segurança do mundo, a engenharia social é definida como "a arte de manipular, influenciar ou enganar o usuário para assumir o controle de seu sistema".
Qual é o papel da IA nesse esquema? Nos últimos anos, os criminosos cibernéticos aperfeiçoaram o uso da IA para criar ataques mais verdadeiros e ágeis, o que aumenta suas chances de obter ganhos em um período de tempo mais curto. Por sua vez, isso permite que eles atinjam novos alvos e desenvolvam abordagens criminosas mais inovadoras, minimizando a probabilidade de detecção.
Criação de realidades falsas: deepfake e vishing
O termo "deepfake" engloba a fusão de dois conceitos:"aprendizagem profunda" e "falso". Ele se refere a uma sofisticada técnica orientada por IA que permite a criação de conteúdo multimídia que parece ser autêntico, mas é fictício.
Usando algoritmos de aprendizagem profunda, os deepfakes podem sobrepor rostos em vídeos, alterar a fala de uma pessoa em áudio e até mesmo gerar imagens realistas de indivíduos que nunca existiram.
Esse conceito remonta à década de 2010. Um dos primeiros vídeos de deepfake a circular na Internet foi o "Face2Face", publicado em 2016 por um grupo de pesquisadores da Universidade de Stanford que procurou demonstrar a capacidade da tecnologia de manipular expressões faciais.
Usando dois recursos, a gravação facial de um ator-fonte (o papel desempenhado pelos pesquisadores) e a de um ator-alvo (presidentes como Vladimir Putin ou Donald Trump), os acadêmicos conseguiram reconstruir as expressões faciais dos atores-alvo com as expressões dos atores-fonte, em tempo real e mantendo a sincronização entre a voz e o movimento dos lábios.
Outro conteúdo deepfake de grande importância foi um vídeo do ex-presidente Obama em que o ouvimos dizer: "Estamos entrando em uma era em que nossos inimigos podem fazer qualquer pessoa dizer qualquer coisa a qualquer momento". E, de fato, a realidade é que não foi Obama quem proferiu essas palavras, mas seu deepfake.
Enquanto isso, o "vishing", uma abreviação de "voice phishing", representa uma variante intrigante e perigosa do phishing clássico. Em vez de enviar e-mails enganosos, os fraudadores fazem ligações telefônicas para enganar suas vítimas. Usando um software de geração de voz baseado em IA, os criminosos podem imitar o tom, o timbre e a ressonância da voz a partir de uma amostra de áudio de apenas 30 segundos, algo que eles podem acessar facilmente nas mídias sociais.
Dois casos que dispararam o alarme
A partir desses primeiros exemplos, a tecnologia deepfake avançou rapidamente e se espalhou amplamente nos últimos anos, a ponto de atrair até mesmo a atenção do FBI.
No início de 2023, a agência dos EUA emitiu um alerta após notar um aumento nos relatos de vídeos adultos falsos, "estrelando" vítimas com base em imagens ou vídeos que os criminosos obtiveram de suas redes sociais.
Deepfake ao vivo via chamada de vídeo
Nesse contexto, no ano passado, as autoridades chinesas intensificaram a vigilância e a retaliação após a revelação de uma fraude de IA.
O incidente ocorreu em 20 de abril de 2023 na cidade de Baotou, na região da Mongólia Interior. Um homem de sobrenome Guo, executivo de uma empresa de tecnologia em Fuzhou, província de Fujian, recebeu uma chamada de vídeo via WeChat, um serviço de mensagens popular na China, de um amigo pedindo ajuda.
O criminoso usou a tecnologia de troca de rosto com tecnologia de IA para se passar por um amigo da vítima. O "amigo" de Guo mencionou que estava participando de um processo de licitação em outra cidade e precisava usar a conta da empresa para enviar uma proposta de 4,3 milhões de yuans (aproximadamente US$ 622.000). Durante a chamada de vídeo, ele prometeu fazer o pagamento imediatamente e forneceu um número de conta bancária para Guo fazer a transferência.
Sem suspeitar, Guo transferiu o valor total e ligou para seu amigo verdadeiro para confirmar que as transferências haviam sido bem-sucedidas. Então, ele teve uma surpresa desagradável: seu amigo verdadeiro negou ter feito uma chamada de vídeo com ele, muito menos ter lhe pedido dinheiro.
Vozes falsas com IA
Em termos de casos de vishing, um caso de fraude de voz alimentada por IA foi relatado pela primeira vez por um meio de comunicação em 2019. O Wall Street Journal publicou a notícia do golpe em que o CEO britânico de uma empresa de energia caiu na quantia de €220.000.
Esses indivíduos conseguiram criar uma voz tão semelhante à do diretor da matriz alemã que nenhum de seus colegas no Reino Unido conseguiu detectar a fraude. Conforme explicado pela empresa de seguros da empresa, o autor da chamada alegou que a solicitação era urgente e instruiu o CEO a fazer o pagamento em uma hora. O CEO, ao ouvir o familiar sotaque alemão sutil e os padrões de voz de seu chefe, não suspeitou.
Presume-se que os hackers usaram um software comercial de geração de voz para realizar o ataque. O executivo britânico seguiu as instruções e transferiu o dinheiro, o que foi seguido por uma ação rápida dos criminosos, que transferiram os fundos da conta húngara para diferentes locais.
Como podemos melhorar nossa segurança on-line?
A evolução da tecnologia nos últimos anos desafia a autenticidade de imagens, áudio e vídeo. Assim, torna-se essencial reforçar os cuidados com as formas de comunicação à distância, por meio de qualquer modalidade.
Como vimos, o principal alvo da engenharia social são as pessoas. Por esse motivo, a principal medida de segurança para evitar ser vítima de tais ataques deve se concentrar nas ações do usuário.
Quando nos deparamos com ligações ou mensagens com solicitações que parecem estranhas, mesmo que venham de pessoas próximas e apresentem uma história confiável (seja por meio de um meio de contato frequente ou não), devemos questionar e desconfiar. Uma prática recomendada é fazer perguntas pessoais no local, cuja resposta somente aquela pessoa saberia.
Mas os usuários não são os únicos que podem ser enganados por vishing ou deepfakes: também é possível violar sistemas de autenticação facial ou de voz. Há alguns anos, a norma ISO 30107que estabelece princípios e métodos para avaliar mecanismos de detecção de ataques de apresentação (PADs), aqueles que visam falsificar dados biométricos (como voz ou rosto).
Daniel Alano, especialista em gerenciamento de segurança de informações da Isbel, enfatizou que uma maneira de melhorar nossa segurança on-line é usar aplicativos com certificação ISO 30107. Alano explicou que "esse é o padrão usado para medir se você é vulnerável a ataques de phishing", embora tenha alertado que ele não é infalível.
Se quiser se aprofundar nas histórias de crimes cibernéticos, convidamos você a ouvir o Malicious, nosso podcast sobre os ataques cibernéticos que paralisaram o mundo.