Está claro para todos que a pandemia alterou as dinâmicas das nossas vidas sem aviso prévio e que várias lições foram aprendidas por todos, tanto no mundo offline quanto no mundo online. Entre elas, a perceção de que os encontros entre amigos e familiares são valiosos e trazem significado para a vida, e por conta dessa necessidade humana, surge no mundo digital uma nova tendência de ataques usados por cibercriminosos, os deepfakes.
Devido à crescente dependência de ferramentas de colaboração virtual criada pelas novas formas de trabalho após a Covid-19, as organizações precisam de estar preparadas, pois os criminosos têm se tornado cada vez mais sofisticados nas suas tentativas de representação. O que, em 2021, era um e-mail de phishing inteligentemente escrito pode se tornar um vídeo ou gravação de voz bem elaborado tentando solicitar as mesmas informações e recursos confidenciais em 2022 e no futuro.
Os Deepfakes são imagens e vídeos criados usando computadores e softwares de aprendizagem de máquina e Inteligência Artificial para fazê-los parecer reais, mesmo que não sejam. Nos últimos anos, houve vários ataques do género, resultando em roubos monetários. Em 2020, um banco com sede em Hong Kong foi enganado por um ataque de “Deep Voice” devido a uma IA que clonou a voz de um diretor confiável, e que procurava uma transferência de US$ 35 milhões. Infelizmente, esses casos estão se a tornar cada vez mais comuns. Com os cibercriminosos a visarem constantemente organizações corporativas, agora é mais importante do que nunca verificar todo o conteúdo, por mais válido que pareça à primeira vista.
Já é de conhecimento que os cibercriminosos personificam e-mails da empresa há décadas por meio de ataques diários de phishing. Mas, agora, deram um passo em frente com o uso de voz e vídeo falsos. Um exemplo clássico de deepfake é quando uma pessoa influente pede algum tipo de doação monetária. Um executivo pode aparentemente enviar uma mensagem de voz por e-mail para um funcionário pedindo uma doação para a sua instituição de caridade apenas para descobrir que a gravação era falsa e que o dinheiro foi dado a uma conta offshore. É fácil para o funcionário reagir imediatamente em vez de verificar se é verdade.
Se o seu pai, mãe, amigo próximo ou até mesmo seu chefe lhe pede para fazer algo, você geralmente sente-se na obrigação de obedecer. E na era do trabalho remoto ou híbrido, é mais difícil confirmar essas interações, pois muitas organizações contam com menos comunicação presencial. As superfícies de ataque de comunicações digitais estão a disparar além do e-mail pois várias ferramentas de colaboração já estão inseridas fortemente no nosso dia a dia, e a tecnologia de deceção (que nada mais é do que uma estratégia para atrair criminosos cibernéticos para longe dos verdadeiros ativos de uma empresa e desviá-los para uma armadilha), está a acompanhar o ritmo, tornando-se uma combinação muito perigosa e pronta para ataques de deepfake.
Como podemos combater o deepfake?
Felizmente, a Inteligência Artificial fez avanços significativos na análise de vídeo e áudio. Por exemplo, o YouTube gera automaticamente legendas de áudio e tem processamento de texto como um sistema de IA que procura palavras-chave e categoriza o conteúdo. Esse mesmo tipo de tecnologia pode ser usado para decifrar vídeos de phishing. Se um CEO pedir aos funcionários que doem para a sua instituição de caridade, um sistema de segurança cibernética de IA pode converter e analisar o texto e reconhecer se a solicitação é em dinheiro e se o pagamento deve ser enviado via PIX, em vez do próprio site da instituição de caridade.
Um sistema de IA também pode abstrair esses dados e inseri-los em uma estrutura de conformidade legal para pagamento aprovado, o que acionaria um humano para aprovar o pagamento ou intervir. A IA pode ser uma primeira camada de defesa e pode sinalizar irregularidades mais rapidamente do que o olho humano. Por exemplo, um sistema de IA também pode comparar rapidamente a mensagem de áudio/vídeo com as imagens originais conhecidas existentes para garantir que a mensagem não seja gerada a partir de vários clipes manipulados e unidos, eliminando uma tarefa demorada para um humano. Há mais avanços nesse tipo de deteção, e vários sistemas de IA são capazes de processar vídeo e áudio para avaliar o contexto e podem passar essas informações para um humano ou podem ser detetados automaticamente.
Há uma importância crescente para as organizações determinarem o certificado de autenticidade manual ou automático para vídeo e conteúdo colaborativo. Métodos de autenticação, incluindo blockchain, podem ser um fator importante para combater ataques de deepfake. A Blockchain pode ser usada numa variedade de aplicações, desde aspetos jurídicos até em votações para autenticar identidade. A Blockchain pode ser usada de duas maneiras. Pode ser usada para solicitar que um utilizador forneça provas da sua identidade antes que possa disseminar conteúdo em seu nome. As aplicações Blockchain também podem ser usadas para verificar se o conteúdo de um determinado arquivo foi forjado ou manipulado a partir da sua versão original.
Seja baseado em blockchain ou em outros métodos de autenticação, esquemas de autenticação podem ser implementados para determinar a legitimidade de um arquivo de áudio ou vídeo. A descentralização da autenticação é fundamental para que uma entidade não tenha autoridade total para validar o conteúdo. Além de blockchain, o uso de autenticação multifator ou de assinaturas são formas viáveis de aumentar a segurança em torno da autenticação.
Embora as organizações possam usar blockchain e IA para combater deepfakes, um dos métodos mais importantes pode envolver a formação de conscientização sobre segurança cibernética. Mais organizações estão a treinar os seus funcionários para melhor proteger a si mesmos e a empresa contra uma variedade de ataques cibernéticos. Devem implementar formação de conscientização sobre segurança cibernética que ensine as pessoas a verificar se as comunicações são autênticas. À medida que surgem novos ataques cibernéticos do tipo deepfake, a formação de conscientização é um passo importante no curto prazo para combater uma variedade de ataques.
Os ataques cibernéticos de deepfake podem atingir qualquer pessoa. O fácil acesso a aplicações, softwares ou até sites deepfake torna todos suscetíveis a serem vítimas. Por causa das redes sociais, também é possível que a sua identidade seja usada num ataque de deepfake. Fotos e vídeos publicados online podem ser recuperados e colocados no software.
O aumento do uso de deepfake e a falta de legislação em torno do assunto são ameaças à segurança cibernética. Os avanços na Inteligência Artificial facilitaram a produção de deepfake persuasivo. Portanto, é fundamental estar atento e usar as melhores práticas de segurança cibernética, e praticar sempre aquele comportamento e estratégia básicos: devemos, a princípio, desconfiar de tudo, uma filosofia de confiança zero. Verifique o que vê. Verifique duas ou três vezes a origem da mensagem. Faça uma pesquisa de imagem para encontrar o original, se possível. E, claro, tudo isso inclui ser cuidadoso com o que publica online restringindo o alcance das suas publicações se ainda quiser ser ativo nas redes sociais. Tornar o seu perfil privado é uma abordagem sábia para manter as suas fotos entre uma rede reconhecida, mesmo que não seja uma solução à prova de falhas para proteger as suas fotos. Não adicione estranhos ou conecte-se com eles se não os conhece. Este é um princípio geral a ser seguido se não quiser ser vítima de um golpe. Por fim, não acredite em tudo que encontre online.
MIT Technology Review