Deepfake Phishing: o que fazer quando a fraude assume uma identidade confiável? 

Os deepfakes, utilizando avançadas técnicas de inteligência artificial, estão se tornando uma arma perigosa nas mãos dos hackers.  

Um estudo recente revelou que essas manipulações ultrarrealistas de vídeos, imagens e áudios estão sendo cada vez mais utilizadas para obter acesso não autorizado a aplicativos bancários.  

A situação é ainda mais preocupante quando descobrimos que os bancos já estão perdendo 20% de sua receita online devido a fraudes e o Brasil lidera a estatística na América Latina, com perdas estimadas em impressionantes R$ 60 bilhões por ano devido a crimes relacionados ao roubo de identidade. 

Diante dessa realidade assustadora, fica a pergunta: você está de fato preparado para enfrentar o Deepfake Phishing e proteger seus ativos digitais? 

O que é deepfake phishing?

O deepfake phishing é uma técnica de phishing que usa deepfakes, que são conteúdos falsos gerados por IA, para enganar as vítimas.  

Os golpistas criam vídeos, imagens ou áudios falsos de pessoas famosas ou autoridades para pedir informações confidenciais ou pagamentos.  

Muitos cibercriminosos aproveitam a tecnologia para criar conteúdo falsos que usam a voz ou a imagem de CEOs e executivos de alto escalão pedindo a funcionários para fazer transferências financeiras urgentes, por exemplo. 

Assim, o colaborador pensa que está apenas atendendo a um pedido do chefe, mas na realidade está sendo manipulado por criminosos, para prejudicar a empresa em que ele trabalha. 

Outro exemplo são vídeos falsos de famosos, como políticos ou celebridades, promovendo esquemas de investimento fraudulentos, criptomoedas falsas ou outros golpes, usados para manipular as vítimas a acreditar que a oportunidade é legítima. 

A procura por deepfakes já é maior que a oferta disponível na Darkweb. Atualmente, os cibercriminosos chegam a cobrar de R$ 300 a R$ 100 mil por esse tipo de conteúdos, os quais estão se tornando cada vez mais realistas e mais fáceis de produzir, qualificando-os como uma ameaça crescente para cidadãos e empresas. 

Como funciona?

O deepfake phishing funciona da seguinte forma: inicialmente, os golpistas disseminam os conteúdos falsos por e-mail, SMS, redes sociais, aplicativos de mensagens, etc. Eles frequentemente imitam o remetente legítimo, com os dados do banco da vítima ou empresa, para parecer autêntico. 

A fim de convencer seus alvos a realizarem as ações solicitadas, os cibercriminosos usam táticas psicológicas e de engenharia social. 

Ou seja, os vídeos deepfake são projetados para manipular as emoções e o comportamento das vítimas. Entre os gatilhos utilizados, os mais comuns são: 

  • Autoridade: usam deepfakes de pessoas em posições de autoridade, como CEOs, policiais ou governantes, para ganhar a obediência da vítima; 
  • Escassez: dizem que a pessoa precisa agir rapidamente para evitar a perda de fundos, o fechamento da conta ou outras consequências negativas. Isso aumenta o senso de urgência; 
  • Ameaça: ameaçam seus alvos com multas, encargos ou outras punições se não fornecer informações ou pagamentos. Isso desencadeia o medo e a ansiedade; 
  • Confiança: os deepfakes que imitam marcas ou pessoas familiares à vítima, como seu banco ou políticos, geram confiança no golpe. Ela acredita que o vídeo é legítimo. 
  • Reciprocidade: pedem um pequeno favor, como fornecer parte das informações solicitadas, o que pode levar a vítima a revelar mais por reciprocidade.  

Se as táticas psicológicas funcionarem, as informações solicitadas serão fornecidas, como senhas, dados financeiros e outros detalhes confidenciais.

Riscos e impactos do deepfake phishing 

Esses ataques cibernéticos apresentam vários riscos e ameaças para empresas e pessoas comuns. Entre os principais, destacamos os seguintes: 

Ameaça à segurança e privacidade 

O deepfake phishing pode levar as vítimas a fornecer informações confidenciais como senhas, dados financeiros e informações pessoais. 

Isso permite que os golpistas acessem contas, roubem identidades e cometam fraudes. 

Danos financeiros

As vítimas podem perder dinheiro transferindo fundos para golpistas ou investindo em esquemas fraudulentos promovidos por deepfakes.  

Os criminosos também podem usar informações obtidas de forma ilegítima para roubar fundos das contas de seu alvo. 

Danos à reputação

Deepfakes que imitam pessoas ou marcas podem ser usados para espalhar desinformação e afetar a reputação de empresas e indivíduos.  

Por exemplo, um deepfake de um CEO anunciando falsamente demissões em massa ou problemas financeiros pode danificar a reputação da empresa.  

Responsabilidade jurídica

As organizações podem enfrentar consequências regulatórias legais por deepfakes que envolvam sua marca ou imitem funcionários.  

Isso pode incluir multas por violações de privacidade de dados ou outras falhas de segurança.  

As pessoas que foram atingidas também podem processar organizações cujos sistemas ou dados foram comprometidos em um ataque de deepfake phishing. 

Como se proteger?

Para se proteger contra esse tipo de ataque, há algumas táticas que podem ser exploradas. Listamos algumas dicas para você. Confira, abaixo: 

Verifique a fonte

Sempre verifique a fonte de qualquer vídeo ou áudio que você receber. Desconfie de materiais enviados por fontes desconhecidas ou não confiáveis.  

Também procure por sinais de edição ou manipulação, como inconsistências na imagem, áudio ou comportamento das pessoas no vídeo. 

Outra alternativa é acessar órgãos verificadores, como  FactCheck.org. Criada em 2003 pela Universidade da Pensilvânia, essa organização independente concentra-se na verificação de fatos, especialmente em notícias políticas. Além disso, abrange outros temas relevantes, como saúde e ciência. 

Valide informações por meio de múltiplos canais 

Se você receber informações ou solicitações suspeitas, especialmente aquelas que envolvem transações financeiras, verifique-as por meio de outros canais de comunicação.  

Entre em contato com a pessoa ou organização diretamente por telefone ou pessoalmente para confirmar a autenticidade. 

Mantenha-se atualizado com as medidas de segurança 

Instale e mantenha atualizado um software antivírus confiável em seus dispositivos. 

Também garanta que seu sistema operacional, aplicativos e navegadores sejam atualizados com as últimas atualizações de segurança. 

Tenha cuidado ao clicar em links ou abrir anexos 

Evite clicar em links ou abrir anexos suspeitos em e-mails, mensagens ou em qualquer outra forma de comunicação.  

Verifique cuidadosamente os endereços de e-mail e URLs antes de clicar neles, especialmente se contiverem informações confidenciais. 

Fortaleça suas senhas e autenticação 

Use senhas fortes e únicas para cada conta e ative a autenticação de dois fatores sempre que possível.  

Isso adiciona uma camada extra de segurança, pois mesmo que suas credenciais sejam comprometidas, um código adicional será necessário para acessar sua conta. 

Desenvolvimentos tecnológicos e combate ao deepfake phishing 

O desenvolvimento tecnológico para combater deepfakes tem se tornado uma área de intensa pesquisa e inovação.  

Avanços em aprendizado de máquina, visão computacional e processamento de imagens têm levado ao desenvolvimento de algoritmos e ferramentas cada vez mais sofisticados, capazes de detectar e autenticar conteúdos manipulados.  

Esses algoritmos avançados e inteligência artificial estão sendo utilizados para detectar deepfakes com maior precisão. Além disso, assinaturas digitais e marcas d’água invisíveis podem ser aplicadas para verificar a autenticidade dos conteúdos.  

A colaboração entre setores, como empresas de tecnologia e instituições acadêmicas, tem sido fundamental nesse combate. A educação e conscientização do público também estão sendo priorizadas para que as pessoas possam identificar e evitar essas ameaças. 

No entanto, é importante destacar que os criminosos estão se adaptando, tornando necessário manter esforços contínuos nessa área. 

Investir em tecnologias de segurança para a sua empresa é sempre a melhor saída para evitar cair em golpes, como o deepfake phishing. Para saber mais, entre em contato com a ISH