5 Maneiras como os cibercriminosos estão a usar IA: Deepfakes

Os atores de ameaça estão sempre a encontrar novas formas de fazer as coisas, e isso é certamente verdade com inteligência artificial (IA). Discutimos como os cibercriminosos usam a IA em ataques de phishing e geração de malware, e hoje estamos a olhar para como eles usam deepfakes nos seus ataques. Os deepfakes são media sintéticos que retratam algo diferente do que é real. Este tipo de media é mais visível na indústria do entretenimento, mas está a tornar-se uma ferramenta eficaz para o cibercrime.

Média sintética e deepfakes

Vamos começar por esclarecer o que é 'media sintética'. Este termo refere-se a conteúdo que não é capturado da realidade. As imagens, áudio, vídeo, etc., são sintetizados ou construídos através de meios digitais. Não é necessário o uso de IA para criar media sintética.** A modelação 3D, imagens geradas por computador (CGI) e outros programas como o Adobe Photoshop podem ser usados para criar media sintética sem o aprimoramento de IA.

Os media sintéticos têm muitos usos positivos fora do entretenimento. Os estudantes usam-nos para aprender anatomia e os engenheiros usam-nos para criar desenhos industriais complexos. É amplamente utilizado em marketing, publicidade, formação e serviço ao cliente. Os próprios media sintéticos não constituem um risco. Os deepfakes são um subconjunto dos media sintéticos, e é aqui que reside a maior parte da ameaça.

O termo ‘deepfake’ é uma fusão de ‘deep learning’ e ‘fake’, e para ser claro, nem todos os deepfakes são perigosos. Alguns são apenas brincadeira, outros são apenas negócios. Os deepfakes tornaram possível que o jovem Luke Skywalker aparecesse em The Mandalorian e que Anthony Bourdain falasse postumamente novas palavras no filme sobre a sua vida. O primeiro foi emocionante para os fãs, o segundo foi perturbador e amplamente criticado. Nenhum destes deepfakes criou um risco, mas ambos mostram o potencial da tecnologia de deepfake. O assustador sobre os deepfakes não é que a Disney possa recriar um jovem Luke Skywalker, mas sim que um ator malicioso possa recriar o seu chefe. O deepfake enganoso e malicioso é a ameaça, e os ataques usando este tipo de deepfake estão a aumentar em audácia e alcance.

Cibercrime e deepfakes

Deepfakes maliciosos aparecem em campanhas eleitorais, vídeos falsos de celebridades, meios de comunicação de notícias e até em processos legais que dependem de provas em vídeo ou áudio. Vamos concentrar-nos no cibercrime, mas há imensa informação disponível sobre estes outros tópicos.

O primeiro incidente significativo de deepfake ocorreu em 2017, quando um utilizador do Reddit chamado 'DeepFakes' publicou vídeos para adultos que substituíam os rostos dos atores de filmes adultos pelos de celebridades mainstream. Isto não é considerado um ataque, mas é significativo porque causou indignação generalizada e preocupação com violações de privacidade e deteção de deepfakes. O Reddit e outras plataformas sociais baniram o conteúdo e o utilizador, e alguns corpos legislativos responderam com leis contra pornografia deepfake e uso não autorizado da semelhança de uma pessoa.

Phishing por vídeo ou voz

O primeiro ataque de deepfake conhecido ocorreu em 2019, quando um ator de ameaça imitou um executivo e instruiu um CEO subordinado a transferir fundos para um fornecedor falso. Este ataque utilizou phishing de voz, ou vishing, para manipular a vítima.

Diz-se que o CEO da empresa, ao ouvir o ligeiro sotaque alemão familiar e os padrões de voz do seu chefe, não suspeitou de nada…

Vários meses depois, um grupo diferente de atores de ameaça convenceu um funcionário do banco a transferir $35 milhões para várias contas. Os seguintes detalhes são extraídos de o documento do tribunal (p2):

... a 15 de janeiro de 2020, o gestor da filial da Victim Company recebeu um telefonema que alegava ser da sede da empresa. O interlocutor soava como o Diretor da empresa, por isso o gestor da filial considerou a chamada legítima. O gestor da filial também recebeu vários e-mails que acreditava serem do Diretor, relacionados com a chamada telefónica. O interlocutor disse ao gestor da filial, por telefone e e-mail, que a Victim Company estava prestes a adquirir outra empresa e que um advogado chamado Martin Zelner (Zelner) tinha sido autorizado a coordenar os procedimentos para a aquisição. O gestor da filial recebeu então vários e-mails de Zelner sobre a aquisição, incluindo uma carta de autorização do Diretor para Zelner. Devido a estas comunicações, quando Zelner pediu ao gestor da filial para transferir 35 milhões de USD para várias contas no âmbito da aquisição, o gestor da filial seguiu as suas instruções. A investigação dos Emirados revelou que os réus tinham utilizado tecnologia de "deep voice" para simular a voz do Diretor. Em janeiro de 2020, os fundos foram transferidos da Victim Company para várias contas bancárias noutros países, num esquema complexo que envolvia pelo menos 17 réus conhecidos e desconhecidos.

Este ataque não dependia completamente de um esquema de vishing com deepfake. Havia e-mails falsos, pessoas falsas (Zelner), negócios falsos e uma série de contas reais criadas sob falsos pretextos.

Reuniões de vídeo falsas

Outro ataque sofisticado de deepfake ocorreu em fevereiro de 2024, quando atores de ameaça visaram uma empresa multinacional localizada em Hong Kong:

“…o trabalhador ficou desconfiado depois de receber uma mensagem que alegadamente era do diretor financeiro da empresa sediada no Reino Unido. Inicialmente, o trabalhador suspeitou que fosse um e-mail de phishing, pois falava da necessidade de realizar uma transação secreta.

No entanto, o trabalhador deixou de lado as suas dúvidas iniciais após a videochamada porque as outras pessoas presentes pareciam e soavam exatamente como colegas que ele reconhecia...

…Acreditando que todos os outros na chamada eram reais, o trabalhador concordou em remeter um total de 200 milhões de dólares de Hong Kong – cerca de 25,6 milhões de dólares…

De acordo com a polícia de Hong Kong, "todos [que ele viu] eram falsos."

Este é outro ataque de vários vetores. Os atores da ameaça pesquisaram a empresa, estudaram vídeos acessíveis ao público e usaram este reconhecimento para recriar vários funcionários para uma videoconferência. E-mails falsos e cenários falsos foram criados para apoiar o esquema fraudulento e receber o dinheiro.

É possível que houvesse muito mais nestes ataques do que sabemos. Os atores de ameaça podem ter usado uma ameaça persistente avançada (APT) para recolher informações na rede, ou pode ter havido uma ameaça interna. Qualquer que tenha sido o trabalho de preparação que realizaram antes dos ataques, permitiu a estes atores de ameaça criar deepfakes muito eficazes.

Extorsão

Os ataques de deepfake não se limitam a enganar alguém numa transação comercial fraudulenta. Os atores de ameaça podem criar cenários de deepfake que comprometem indivíduos e empresas. Um vídeo de um CEO a falar ou a agir de forma controversa pode levar a uma queda nos preços das ações, perdas de vendas e uma série de comentários irritados na internet que nunca desaparecem. Estudos mostram que a maior parte dos danos reputacionais ocorre nas 24 horas após um incidente. Os criminosos criam estes deepfakes prejudiciais e depois tentam extorquir pagamento em troca de não divulgarem o conteúdo.

Proteger-se de ataques de deepfake

Não há uma única maneira de se proteger de um ataque de deepfake. Tal como na maioria dos cibercrimes, trata-se de educação, vigilância e múltiplas camadas de segurança. Ataques de deepfake bem-sucedidos, como os mencionados acima, exigiram uma cadeia de eventos, incluindo reconhecimento e vários tipos de ataques de e-mail. Ataques como estes podem ser evitados logo no início com uma plataforma abrangente de cibersegurança e formação contínua de sensibilização sobre segurança. Também pode rever definições de privacidade em contas de redes sociais e limitar os tipos de informação publicados pela empresa.

Os deepfakes estão sempre a melhorar, mas raramente são perfeitos. Esteja atento a coisas como movimentos estranhos dos olhos ou do rosto e iluminação ou sombras de fundo inconsistentes. Verifique a autenticidade de qualquer comunicação incomum. A filosofia Zero Trust é uma defesa forte contra deepfakes. Nunca confie, verifique sempre. Assuma um ambiente hostil e analise tudo com atenção.

Sabia que ...

De acordo com um relatório recente da Barracuda e do Instituto Ponemon, 50% dos profissionais de TI esperam ver um aumento no número de ataques devido ao uso de IA. Obtenha os detalhes sobre isso e muito mais no nosso novo e-book, Garantindo o amanhã: um guia do CISO para o papel da IA na cibersegurança. Este e-book explora os riscos de segurança e expõe as vulnerabilidades que os cibercriminosos exploram com a ajuda da IA para aumentar os seus ataques e melhorar as suas taxas de sucesso. Obtenha a sua cópia gratuita do e-book agora mesmo e veja por si mesmo todas as ameaças, dados, análises e soluções mais recentes.

Para uma leitura interessante sobre imagens de IA vs gráficos gerados por computador, consulte este tópico no Quora.