É realmente Tom Cruise prestes a lutar com um jacaré? Keanu Reeves dançando como se ninguém estivesse assistindo? Ou Robert Pattinson recebendo sombra de seu gato? Não – é um deepfake.
A tecnologia Deepfake é uma inteligência artificial avançada que substitui vídeo e áudio reais por vídeo e áudio criados artificialmente a partir de outras fontes. Embora possa parecer uma diversão inofensiva no TikTok, também está se tornando um grande risco de segurança para empresas de todos os tamanhos.
De acordo com um relatório recém-lançado da nuvem empresa de serviços VMware, os ataques de deepfake estão aumentando.
“Os cibercriminosos agora estão incorporando deepfakes em seus métodos de ataque para evitar controles de segurança”, disse Rick McElroy, principal estrategista de segurança cibernética da VMware. “Dois em cada três entrevistados em nosso relatório viram deepfakes maliciosos usados como parte de um ataque, um aumento de 13% em relação ao ano passado, com e-mail como o principal método de entrega.”
De acordo com McElroy , seu novo objetivo é usar a tecnologia deepfake para comprometer as organizações e obter acesso ao seu ambiente. Como? Ao enganar os funcionários para que pensem que estão lidando com pessoas reais.
Foi o que aconteceu com um gerente de banco em Hong Kong, que recebeu ligações falsas de um diretor de banco solicitando uma transferência. As impressões foram tão boas que o gerente acabou transferindo US$ 35 milhões e nunca mais o viu. Um incidente semelhante ocorreu em uma empresa de energia sediada no Reino Unido, onde um funcionário involuntário transferiu aproximadamente US$ 250.000 para criminosos depois de ser enganado ao pensar que o destinatário era o CEO da controladora da empresa. Deepfakes estão sendo usados para enganar as pessoas para comprar produtos e o FBI agora está alertando as empresas que os criminosos estão usando deepfakes para criar “funcionários” on-line para cargos de trabalho remoto a fim de obter acesso a informações corporativas.
É o novo desafio de segurança. E considerando quanto vídeo e áudio existe de nós online graças às mídias sociais e ao YouTube, não é difícil para um golpista usar ferramentas prontamente disponíveis para fazer as pessoas acreditarem que estamos dizendo e fazendo coisas que não somos – ou conversando com pessoas que não t realmente existe. Grandes empresas de tecnologia como Microsoft e Google vêm desenvolvendo ferramentas para detectar essas ameaças e a legislação federal também está em andamento na tentativa de limitar os danos. Mas esses passos só podem ir tão longe. Então, como protegemos nossos negócios desse perigo crescente?
Treinamento. E controles.
O motivo mais comum para violações de segurança – deepfakes ou outros – continua sendo o erro humano. O gerente do banco, o CEO, o RH que foi enganado pelo falso funcionário remoto, todos poderiam ter evitado esses erros se fossem mais versados em reconhecer fraudes de deepfake.
Muitos dos meus clientes hoje invista mais em ferramentas de treinamento como KnowBe4 ou Phishingbox para testar continuamente a consciência de seus funcionários sobre o perigo potencial. Outros pagam profissionais de TI para manter sua equipe atualizada com sessões trimestrais de atualização. O treinamento é a melhor primeira linha de defesa contra essas ameaças.
Mas o treinamento não nos protegerá completamente contra as tecnologias deepfake. É por isso que ter controles internos fortes é agora mais importante do que nunca. Garantir que haja várias camadas de aprovações necessárias para transações significativas deve ser um requisito para qualquer negócio, independentemente do tamanho. Proprietários e gerentes seniores não devem ser tentados a substituir essas políticas, pois isso abrirá a porta para transações potencialmente não autorizadas por engano.
Como todas as ameaças de segurança – spam, vírus, malware e agora deepfakes – haverá novas tecnologias para ajudar a minimizar seu impacto. Mas, como sempre, não podemos contar com essas tecnologias para nos proteger totalmente. Como proprietários e gerentes de negócios, temos que assumir a responsabilidade por nossas ações e de nossos funcionários, fazendo um esforço para entender e reconhecer melhor essas ameaças. Isso não é um filme. É a vida real.
