Por David Fairman
A utilização crescente de apps para fotos e vídeo principalmente pelos jovens está adicionando combustível a um vetor de fraude emergente, a deepfake, que se revelará extremamente desafiadora tanto para as empresas quanto para os consumidores.
O que são deepfakes
O nome deepfakes é derivado da tecnologia que possibilitou o seu desenvolvimento, ou seja, o deep learning que é um subconjunto de inteligência artificial (IA) que imita a forma como os seres humanos adquirem conhecimento. Com o aprendizado profundo, os algoritmos aprendem por meio de vastos conjuntos de dados, sem a ajuda de supervisão humana. Quanto maior for o conjunto, mais exato o algoritmo.
A deepfake usa Inteligência Artificial para criar arquivos de vídeo ou áudio altamente convincentes que imitam um terceiro – por exemplo, um vídeo de uma celebridade dizendo algo que essa pessoa de fato não disse. Deepfakes são produzidas por uma ampla gama de razões, legítimas ou ilegítimas, que podem ser: sátira, entretenimento, fraude, manipulação política e a geração de “fake news”.
O perigo das deepfakes
A ameaça que as deepfakes representam para a sociedade é um perigo real e atual devido aos riscos associados à capacidade de colocar palavras na boca de pessoas poderosas, influentes ou de confiança, tais como políticos, jornalistas, celebridades e outros formadores de opinião. Além disso, os deepfakes também representam uma clara e crescente ameaça às empresas, que incluem:
• Extorsão: Ameaçar a liberação de imagens falsas e comprometedoras de um executivo para obter acesso a sistemas corporativos, dados ou recursos financeiros.
• Fraude: Imitar um funcionário e/ou cliente usando deepfakes para obter acesso a sistemas corporativos, dados ou recursos financeiros.
• Autenticação: Manipular por meio de deepfakes a verificação ou autenticação de identidade que se baseia em biometria, como padrões de voz ou reconhecimento facial para acessar sistemas, dados ou recursos financeiros.
• Risco de reputação: Usar deepfakes para prejudicar a reputação de uma empresa e/ou seus funcionários junto aos clientes e outras partes interessadas.
Oferta de deepfakes como serviço
Dos riscos associados às deepfakes, o impacto sobre a fraude é um dos mais preocupantes para as empresas hoje em dia. Observamos o surgimento de ferramentas de deepfake sendo oferecidas como um serviço na deep web, tornando mais fácil e mais barato para os criminosos lançarem tais esquemas de fraude, mesmo que eles tenham um entendimento técnico limitado. Vale destacar também que o lançamento de grandes volumes de imagens e vídeos que os usuários postam de si mesmos em plataformas de mídia social – funcionam como grandes inputs para que os algoritmos de deep learning se tornem cada vez mais convincentes.
Os três principais tipos de fraudes que as equipes de segurança corporativa devem ficar alertas:
• Fraude fantasma: Quando um criminoso usa os dados de uma pessoa que morreu para criar uma deepfake que pode ser usada, por exemplo, para acessar serviços on-line ou solicitar cartões de crédito ou empréstimos;
• Fraude de identidade: Nesta modalidade, os fraudadores extraem dados de muitas pessoas diferentes para criar uma identidade para uma pessoa que não existe. A identidade é então utilizada para solicitar cartões de crédito ou para realizar grandes transações;
• Fraude financeira: Onde identidades roubadas ou falsas são usadas para abrir novas contas bancárias. O criminoso, então, maximiza os cartões de crédito e empréstimos associados.
Como a empresa pode se defender
Identifiquei cinco passos principais que todas as empresas devem implementar no momento para proteger seus dados, finanças e reputação frente à crescente sofisticação e prevalência da fraude deepfake, são eles:
1) Planejar procedimentos de resposta e simulações. Deepfakes devem ser incorporados ao planejamento de cenários e testes de crise. Os planos devem incluir classificação de incidentes e delinear processos claros de comunicação para estas ocorrências, escalação e procedimentos de comunicação, particularmente quando se trata de mitigar o risco de reputação.
2) Educar os funcionários. Assim como as equipes de segurança educam os funcionários para detectar e-mails de phishing, eles devem também aumentar a conscientização sobre deepfakes. Como em outras áreas de segurança cibernética, os funcionários devem ser vistos como uma importante linha de defesa, especialmente dado o uso de deepfakes para engenharia social.
3) Adotar procedimentos secundários de verificação para transações sensíveis. Não confie, verifique sempre. Tenha métodos secundários para verificação ou call back, tais como marca d’água em arquivos de áudio e vídeo, autenticação por etapas ou controle duplo.
4) Colocar em prática a contratação de seguro para proteção. À medida que a ameaça de deepfake cresce, as seguradoras, sem dúvida, oferecerão uma gama mais ampla de opções.
5) Atualizar avaliações de risco. Incorporar deepfakes no processo de avaliação de risco para canais e serviços digitais.
Nos próximos anos, a tecnologia continuará a evoluir, e será mais difícil identificar deepfakes. De fato, à medida que as pessoas e as empresas forem adotando o Metaverso e a Web 3.0, é provável que avatares sejam usados para acessar e consumir uma ampla gama de serviços. A menos que sejam estabelecidas proteções adequadas, estes avatares nativos digitais provavelmente serão mais fáceis de falsificar do que os seres humanos.
Entretanto, a tecnologia avançará tanto para explorar, quanto para detectar as falsificações. As equipes de segurança devem procurar se manter atualizadas sobre novos avanços na detecção e outras tecnologias inovadoras para ajudar a combater esta ameaça. A direção da jornada para as deepfakes é clara e as empresas devem começar a se preparar agora.
*David Fairman, Chief Information Officer & Chief Security Officer APAC na Netskope