O Reporte anual “Global Incident Response Threat 2022”, produzido pela VMware, analisou as principais tendências do mundo cyber no ano. Entre as novidades, notou-se um aumento na aplicação de fraudes em usuários e profissionais dos mais variados segmentos através do uso de técnicas de Deepfake.
Segundo a pesquisa, os golpes com simulações faciais e de voz saltaram 13 pontos percentuais, com agora 66% dos entrevistados dizendo que testemunharam um evento desses nos últimos 12 meses. A maioria dos entrevistados disseram que as ocorrências são mais frequentes com vídeos se comparados aos recursos de áudios (58% à 42%). Os métodos de entrega mais comuns incluem e-mail (78%), mensagens de texto (57%), mensagens de voz (34%) e mídias sociais (34%).
Esses novos parâmetros sobre as ferramentas de simulação mostram possibilidades enormes de aplicação e de riscos. Como o próprio relatório exemplifica, em março de 2022, um vídeo produzido por Deepfake mostrava o presidente ucraniano Volodymyr Zelenskyy pedindo que suas tropas se rendessem aos exércitos russos. Apesar da farsa ter sido exposta, o evento causou um transtorno de proporções internacionais.
“Se já estamos no nível de simular um presidente da república falando em público em um contexto de guerra, como no caso do presidente Zelenskyy, significa que esses métodos já são ameaças em escala global”, informou o Head de Security Business Unity para América Latina na VMware, Charbel Chalala, em entrevista para a Security Report. Para ele, os criminosos só não souberam explorar totalmente esses recursos, mas isso é questão de tempo, inclusive para impactar o mercado corporativo.
O Deepfake é comumente usado como vetor para aplicação de golpes ou mesmo promoção de invasões mais complexas de sistemas. Através desse método, o cibercriminoso pode simular vídeos ou áudios de voz para enganar funcionários ativos em redes empresariais a fim de alcançar credenciais importantes e comprometer acessos privilegiados.
Diante desse cenário, é preciso de uma orquestração melhor no sentido de conscientização de colaboradores e clientes, pois o elo fraco nessas questões ainda está no desconhecimento. “Lembro de conversar com um CISO de um grande banco público sobre a carência de uma disciplina sobre educação financeira digital, que vá além de ensinar como poupar e gastar dinheiro, mas que entregue conhecimento às pessoas desde jovens a acessar com segurança os sistemas do banco, a entender como funcionam as transações via PIX e WhatsApp”, disse Charlala.
Já no caso das empresas, esse combate deve ser parte de processos internos, especialmente nos requisitos básicos da Segurança Cibernética. Para Chalala, um contexto geral de proteção contra novas ameaças envolve gestão e validação de APIs, especialmente pela sua importância na autenticação, comunicação e integração. Há também questões de controle de acesso e identidade em múltiplos níveis.
“Se não estivermos preparados para o modelo de fraude que existe no mercado, é certo que isso pode nos enganar e gerar grandes transtornos. A preocupação deve ser massiva, mesmo para os profissionais ligados à Cibersegurança. Todos podem receber e-mails ou mensagens mal-intencionadas, em um descuido, o comprometimento pode ser devastador para o negócio”, finaliza.
