Oferecido por
Está claro para todos nós que a pandemia alterou as dinâmicas de nossas vidas sem aviso prévio e que várias lições foram aprendidas por todos nós, tanto no mundo offline quanto no mundo online. Entre elas, a percepção de que os encontros entre amigos e familiares são valiosos e trazem significado para a vida, e por conta dessa necessidade humana, surge no mundo digital uma nova tendência de ataques usados por cibercriminosos, o deepfake.
Devido à crescente dependência de ferramentas de colaboração virtual criada pelas novas formas de trabalho após a Covid-19, as organizações precisam estar preparadas pois os criminosos se tornam cada vez mais sofisticados em suas tentativas de representação. O que, em 2021, era um e-mail de phishing inteligentemente escrito pode se tornar um vídeo ou gravação de voz bem elaborado tentando solicitar as mesmas informações e recursos confidenciais em 2022 e no futuro.
Deepfakes são imagens e vídeos criados usando computadores e softwares de aprendizado de máquina e Inteligência Artificial para fazê-los parecer reais, mesmo que não sejam. Nos últimos anos, houve vários ataques do gênero, resultando em roubos monetários. Em 2020, um banco com sede em Hong Kong foi enganado por um ataque de “Deep Voice” movido a IA que clonou a voz de um diretor confiável buscando uma transferência de US$ 35 milhões. Infelizmente, esses casos estão se tornando cada vez mais comuns. Com os cibercriminosos visando constantemente organizações corporativas, agora é mais importante verificar todo o conteúdo, por mais válido que pareça à primeira vista.
Já é de conhecimento que os cibercriminosos personificam e-mails da empresa há décadas por meio de ataques diários de phishing. Mas, agora, deram um passo adiante com o uso de voz e vídeo falsos. Um exemplo clássico de deepfake é quando uma pessoa influente pede algum tipo de doação monetária. Um executivo pode aparentemente enviar uma mensagem de voz por e-mail para um funcionário pedindo uma doação para sua instituição de caridade apenas para descobrir que a gravação era falsa e que o dinheiro foi dado a uma conta offshore. É fácil para o funcionário reagir imediatamente em vez de verificar se é verdade.
Se seu pai, mãe, amigo próximo ou até mesmo seu chefe lhe pede para fazer algo, você geralmente se sente na obrigação de obedecer. E na era do trabalho remoto ou híbrido, é mais difícil confirmar essas interações, pois muitas organizações contam com menos comunicação presencial. As superfícies de ataque de comunicações digitais estão disparando além do e-mail pois várias ferramentas de colaboração já estão inseridas fortemente em nosso dia a dia, e a tecnologia de decepção (que nada mais é do que uma estratégia para atrair criminosos cibernéticos para longe dos verdadeiros ativos de uma empresa e desviá-los para uma armadilha), está acompanhando o ritmo, tornando-se uma combinação muito perigosa e pronta para ataques de deepfake.
Como podemos combater o deepfake?
Felizmente, a Inteligência Artificial fez avanços significativos na análise de vídeo e áudio. Por exemplo, o YouTube gera automaticamente legendas de áudio e tem processamento de texto como um sistema de IA que procura palavras-chave e categoriza o conteúdo. Esse mesmo tipo de tecnologia pode ser usado para decifrar vídeos de phishing. Se um CEO pedir aos funcionários que doem para sua instituição de caridade, um sistema de segurança cibernética de IA pode converter e analisar o texto e reconhecer se a solicitação é em dinheiro e se o pagamento deve ser enviado via PIX, em vez do próprio site da instituição de caridade.
Um sistema de IA também pode abstrair esses dados e inseri-los em uma estrutura de conformidade legal para pagamento aprovado, o que acionaria um humano para aprovar o pagamento ou intervir. A IA pode ser uma primeira camada de defesa e pode sinalizar irregularidades mais rapidamente do que o olho humano. Por exemplo, um sistema de IA também pode comparar rapidamente a mensagem de áudio/vídeo com as imagens originais conhecidas existentes para garantir que a mensagem não seja gerada a partir de vários clipes manipulados e unidos, eliminando uma tarefa demorada para um humano. Há mais avanços nesse tipo de detecção, e vários sistemas de IA são capazes de processar vídeo e áudio para avaliar o contexto e podem passar essas informações para um humano ou podem ser detectados automaticamente.
Há uma importância crescente para as organizações determinarem o certificado de autenticidade manual ou automático para vídeo e conteúdo colaborativo. Métodos de autenticação, incluindo blockchain, podem ser um fator importante para combater ataques de deepfake. Blockchain pode ser usada em uma variedade de aplicações, desde aspectos jurídicos até em votações para autenticar identidade (#FicaDica). Blockchain pode ser usado de duas maneiras. Ele pode ser usado para solicitar que um usuário forneça prova de sua identidade antes que ele possa disseminar conteúdo em seu nome. Os aplicativos Blockchain também podem ser usados para verificar se o conteúdo de um determinado arquivo foi forjado ou manipulado a partir de sua versão original.
Seja baseado em blockchain ou em outros métodos de autenticação, esquemas de autenticação podem ser implementados para determinar a legitimidade de um arquivo de áudio ou vídeo. A descentralização da autenticação é fundamental para que uma entidade não tenha autoridade total para validar o conteúdo. Além de blockchain, o uso de autenticação multifator ou de assinaturas são formas viáveis de aumentar a segurança em torno da autenticação.
Embora as organizações possam usar blockchain e IA para combater deepfakes, um dos métodos mais importantes pode envolver treinamento de conscientização sobre segurança cibernética. Mais organizações estão treinando seus funcionários para melhor proteger a si mesmos e a empresa contra uma variedade de ataques cibernéticos. Devem implementar treinamento de conscientização sobre segurança cibernética que ensine as pessoas a verificar se as comunicações são autênticas. À medida que surgem novos ataques cibernéticos do tipo deepfake, o treinamento de conscientização é um passo importante no curto prazo para combater uma variedade de ataques.
Os ataques cibernéticos de deepfake podem atingir qualquer pessoa. O fácil acesso a aplicativos, softwares ou até sites deepfake torna todos suscetíveis a serem vítimas. Por causa das mídias sociais, também é possível que sua identidade seja usada em um ataque de deepfake. Fotos e vídeos postados online podem ser recuperados e colocados no software.
O aumento do uso de deepfake e a falta de legislação em torno do assunto são ameaças à segurança cibernética. Os avanços na Inteligência Artificial facilitaram a produção de deepfake persuasivo. Portanto, é fundamental estar atento e usar as melhores práticas de segurança cibernética, e praticar sempre aquele comportamento e estratégia básicos: devemos, a princípio, desconfiar de tudo, uma filosofia de confiança zero. Verifique o que você vê. Verifique duas ou três vezes a origem da mensagem. Faça uma pesquisa de imagem para encontrar o original, se possível. E, claro, tudo isso inclui ser cuidadoso com o que você publica online restringindo o alcance de suas postagens se você ainda quiser ser ativo nas mídias sociais. Tornar seu perfil privado é uma abordagem sábia para manter suas fotos entre uma rede reconhecida, mesmo que não seja uma solução à prova de falhas para proteger suas fotos. Não adicione estranhos ou conecte-se com eles se você não os conhece. Este é um princípio geral a ser seguido se você não quiser ser vítima de um golpe. Por fim, não acredite em tudo que você encontrar online.
___________________________________________________________________________________
Este artigo foi produzido por Marcos Nehme, Vice-presidente da NetWitness, uma empresa RSA Security para América Latina e Caribe, e colunista da MIT Technology Review Brasil.
Marcos Nehme
