Barracuda full logo

orientação de segurança OWASP sobre deepfakes

Tópicos:
17 dez. 2024
|
Nihad Hassan

O lançamento público do ChatGPT no final de 2022 introduziu mudanças radicais na forma como as empresas e os indivíduos utilizam as tecnologias de inteligência artificial (IA). Os benefícios foram óbvios para as empresas: simplificar numerosos processos empresariais e reduzir custos. Os indivíduos começaram a usá-lo para acelerar a sua produtividade e para lazer, por exemplo, ajustando as suas fotos usando ferramentas de IA para mudar a cor do cabelo ou o estilo do corpo.

Tal como acontece com tudo na vida, a tecnologia moderna vem com riscos. No domínio da IA, o risco mais proeminente era usá-la para criar imagens e conteúdos de vídeo fabricados para representar algo que não aconteceu realmente. Esta prática também é conhecida como criação de deepfakes.

Para mitigar os crescentes riscos do uso de tecnologias de IA em diferentes áreas de negócios, OWASP introduziu a lista das 10 principais para aplicações de grandes modelos de linguagem (LLM) em 2023. Esta lista destaca e aborda questões de segurança específicas para a implementação e gestão de LLMs e aplicações de IA generativa. No entanto, após a ampla adoção de tecnologias de IA e o aumento do uso desta tecnologia por atores de ameaças para criar conteúdo fabricado, a OWASP emitiu um novo guia especificamente para abordar e mitigar os riscos de segurança de deepfake, aplicando princípios fundamentais de segurança. Neste artigo, discutiremos os principais elementos deste guia e como as empresas podem usá-lo para reforçar as suas defesas contra diferentes ataques de deepfake. No entanto, antes de começarmos, vamos definir o que significa deepfake.

Deepfakes e media sintética

Deepfakes são um tipo de media sintética criada usando IA. Esta tecnologia utiliza algoritmos de aprendizagem automática (ML) para gerar conteúdo realista e semelhante ao humano, como imagens, vídeos, áudio e texto.

Existem diferentes tipos de media sintética:

  • Vídeos deepfake: Estes são vídeos manipulados que alteram imagens de vídeo, por exemplo, substituindo um rosto humano pelo rosto de outra pessoa, para criar um vídeo falso convincente.
  • Imagens geradas utilizando IA: Ferramentas de IA podem gerar imagens a partir de prompts de texto dos utilizadores ou modificar imagens existentes.
  • Texto sintético: Estes sistemas geram conteúdo de texto, como artigos, posts de blog, poesia, e-books, guias do utilizador, ou qualquer conteúdo de texto, com base em grandes conjuntos de dados nos quais foram treinados. ChatGPT e Claude são exemplos de IA generativa de texto.
  • Fala sintética: Este tipo de média utiliza IA e aprendizagem profunda para gerar som que se assemelha à fala humana.
  • Assistentes virtuais: Estes programas compreendem e respondem à linguagem humana. Aproveitam algoritmos de PLN e ML para compreender e responder de forma natural a comandos de voz ou texto humanos.

Agora que temos uma compreensão razoável dos meios sintéticos e dos seus tipos, vamos falar sobre o recente guia da OWASP sobre a mitigação de ataques baseados em deepfake.

Gestão de incidentes de deepfake

O guia OWASP apresenta uma estrutura abrangente para abordar e responder a desafios de segurança relacionados com deepfake em vários contextos organizacionais. Embora a fase preparatória permaneça consistente, as etapas subsequentes de deteção, contenção e resposta são adaptadas a tipos específicos de incidentes de deepfake.

Preparação

As organizações devem avaliar a sua vulnerabilidade a ameaças de deepfake através de vários vetores de ataque, tais como:

  1. Manipulação de identidade digital: Aproveitar tecnologias de voz, vídeo ou imagem geradas por IA para contornar protocolos de segurança. Por exemplo, invasores podem usar deepfakes para falsificar a identidade de um utilizador específico e obter acesso ilegal a recursos sensíveis.
  2. Imitação de executivos: Execução de esquemas fraudulentos ao imitar executivos de alto nível, como o CFO, para autorizar transações financeiras não autorizadas. Deepfakes podem ser utilizados para imitar a fala do alvo ou até mesmo fabricar uma videochamada.
  3. Comprometimento da reputação da marca: Criar media sintética representando um funcionário de alto nível, como o CEO, a fazer declarações controversas que poderiam prejudicar a reputação da empresa.
  4. Infiltração no recrutamento: Os atores maliciosos usam tecnologias avançadas de deepfake e informações pessoais roubadas para manipular processos de contratação online, como imitar outras pessoas durante uma entrevista de emprego online. O objetivo é convencer o representante de RH a contratá-los para que possam, em última análise, obter acesso autorizado a recursos protegidos da empresa.
  5. Desinformação estratégica: Gerar e disseminar conteúdo multimédia fabricado (vídeo, artigos de notícias e imagens) destinado a influenciar a dinâmica do mercado sobre uma empresa específica. Esta tática geralmente tem como alvo principais partes interessadas, como investidores, parceiros ou clientes, para minar a confiança e perturbar relações comerciais importantes. O objetivo final é danificar a reputação e a posição de mercado da empresa-alvo.

Avaliação das defesas

O guia sugere que as organizações devem realizar uma avaliação de segurança que analise as suas políticas de segurança, procedimentos e métodos de auditoria nas seguintes quatro áreas:

  1. Divulgação de dados sensíveis
  2. Help desk
  3. Transações financeiras
  4. Resposta a eventos

Melhores práticas de autenticação baseada em humanos

Quando uma organização implementa autenticação baseada em humanos, pelo menos duas das seguintes melhores práticas devem ser aplicadas:

  • Mantenha um diretório de métodos de comunicação aprovados, como um endereço de e-mail alternativo ou número de telefone, para autenticar ainda mais uma pessoa específica.
  • Exigir a verificação de comunicação alternativa, como ligar de volta à pessoa ou enviar um e-mail separado para verificar o pedido.
  • Utilize o método "código do dia". As instituições financeiras costumam usar esta prática para gerar um código único diário que pode ser usado em conjunto com outra identificação verbal para executar tarefas importantes.
  • Utilize perguntas de segurança para verificar a identidade além dos fatores de autenticação existentes. Evite perguntas fáceis de investigar, como o nome do meio da mãe.
  • Peça ao gestor ou supervisor do requerente para verificar o pedido.

Transações financeiras

Ao lidar com transações financeiras, o guia OWASP sugere as seguintes Best Practice:

  • Estabeleça políticas claras sobre como executar transações financeiras dentro da sua organização.
  • Implemente o conceito de separação de funções. Isto significa que nenhum indivíduo pode ter controlo total sobre a execução de uma transação.
  • Solicitar autorização de dois funcionários para executar cada transação. Para transações de valor elevado, solicitar aprovação de mais de dois funcionários.
  • Utilize o método "código do dia" para verificar indivíduos que realizam transações financeiras.
  • Aproveitar a autenticação multifator (MFA) para proteger transações financeiras.
  • Utilize dois métodos de comunicação para aprovar uma transação financeira, por exemplo, via e-mail e telefone.
  • Audite regularmente os procedimentos de transações financeiras e garanta a conformidade com os procedimentos aplicados.

Help desk

O guia OWASP sugere as seguintes melhores práticas para mitigar ataques de deepfake para funcionários que trabalham no departamento de help desk:

  • Revise os procedimentos de redefinição de senha e assegure-se de que a autenticação multifatorial (MFA) esteja implementada em todas as contas dos empregados.
  • Teste todos os processos de trabalho relacionados com o help desk e identifique lacunas que possam ser vulneráveis a ataques de deepfake.
  • Documente todos os processos que não requerem MFA e garanta que a autenticação baseada em humanos adere às Best Practice de segurança.

Contratação

Na área de recrutamento, a OWASP sugere as seguintes Best Practice:

  • Estabelecer um processo para relatar candidatos suspeitos (que se suspeita estarem a usar identidades geradas com tecnologia de IA) ao departamento em questão.
  • Utilize soluções automatizadas para detetar documentos falsificados, como passaportes e identificações falsos, e informe os candidatos de que irá verificar as suas identificações para ver se foram geradas usando tecnologia deepfake.
  • Inclua uma nota em todos os anúncios de emprego indicando que não serão permitidos métodos de manipulação de áudio ou vídeo durante o processo de entrevista.
  • Audite todas as práticas de contratação e assegure-se de que todos os funcionários do departamento de RH seguem as Best Practice para verificações de antecedentes, referências, revisões de currículos e entrevistas com candidatos.

Divulgação de dados sensíveis

Ao lidar com dados sensíveis, como os dados pessoais dos clientes, o guia OWASP sugere as seguintes melhores práticas:

  • Reveja as políticas e procedimentos atuais para a divulgação de dados sensíveis em todos os departamentos e entreviste os funcionários desses departamentos para reconhecer os fluxos de trabalho atualmente implementados – que podem diferir do documentado.
  • Identificar lacunas nos procedimentos atuais.
  • Identifique quais processos são permitidos ser executados sem MFA.
  • Garantir que os métodos de autenticação baseados em humanos seguem as melhores práticas de segurança.

Monitorização da Marca

Para a monitorização da marca, recomendam-se as seguintes práticas recomendadas:

  • Revise as ferramentas e serviços atuais de monitorização da marca e assegure-se de que conseguem reconhecer conteúdo deepfake.
  • Garanta que todos os funcionários de diferentes departamentos conheçam os tipos de conteúdo deepfake e como relatar esse conteúdo ao departamento apropriado.

Resposta a eventos

Na área de resposta a incidentes, garanta o seguinte:

  • Tem um processo estabelecido para relatar conteúdos deepfake.
  • O seu atual acordo de nível de serviço (SLA) com empresas de forense digital inclui uma secção para lidar com incidentes de deepfake.
  • Tem um processo estabelecido para remover conteúdos deepfake, como infrações de direitos de autor, domínios semelhantes e outros conteúdos fabricados.

Plano de resposta a incidentes de deepfake

O guia OWASP sugere um plano geral de resposta a incidentes para identificar e responder a conteúdo deepfake. Propõe os seguintes passos gerais:

  • Crie uma estrutura de governação para responder a incidentes de deepfake.
  • Identificar os procedimentos de escalonamento ao identificar deepfakes.
  • Identificar como remover conteúdo deepfake e estabelecer as ações legais para prosseguir oficialmente com tais casos.
  • Para cada tipo de incidente de deepfake, identifique o plano de comunicação de crise relevante em todos os cenários de deepfake, que são:
    1. Ganho financeiro através de fraude por falsificação de identidade
    2. Falsificação de identidade para ciberataques
    3. Fraude em entrevistas de emprego
    4. Desinformação/Misinformação/Malinformação
  • Classifique o incidente de deepfake, se pertence a uma grande campanha ou apenas a um incidente isolado. O guia OWASP sugere que os planos de resposta a incidentes devem considerar as seguintes implicações:
    1. Dano reputacional
    2. Pressão de extorsão após um evento de ransomware ou exfiltração de dados
    3. Hacktivismo / ativismo corporativo
    4. Fraude financeira
    5. Divulgação de informações sensíveis
    6. Espionagem industrial
    7. Violações de computador ou rede
    8. Partes interessadas enganadas
    9. Manipulação do preço das ações
  • Determine se a sua organização possui a tecnologia necessária para identificação de deepfake; caso contrário, solicite ao seu fornecedor de forense digital que forneça essa capacidade.
  • Defina quando solicitar ajuda das autoridades.
  • Certifique-se de que o plano de resposta a incidentes é auditado regularmente e atualizado continuamente.

Formação de sensibilização

Garanta que todos os funcionários têm formação adequada sobre como identificar conteúdos deepfake. O guia OWASP propõe que a formação de sensibilização dos funcionários deve, no mínimo, abranger os seguintes pontos:

  • O que são deepfakes
  • O que fazer se acha que um deepfake está a direcionar-se a si
  • O que fazer se for alvo de um deepfake
  • Onde relatar deepfakes

OWASP fornece orientações abrangentes para mitigar os riscos de deepfake. As organizações devem preparar-se avaliando as suas vulnerabilidades atuais, implementando MFA, estabelecendo processos de verificação robustos e criando planos de resposta a incidentes para lidar com tais incidentes. A formação de sensibilização sobre segurança dos colaboradores é crucial para reconhecer e reportar ameaças de media sintética que possam comprometer a identidade digital, a segurança financeira e a reputação da marca.

Nihad Hassan

Nihad Hassan é um autor técnico experiente que publicou seis livros na área da cibersegurança. As suas áreas de especialização incluem uma ampla gama de tópicos relacionados com a cibersegurança, incluindo OSINT, inteligência sobre ameaças, forense digital, ocultação de dados, privacidade digital, segurança de rede, engenharia social, ransomware, testes de penetração, segurança da informação, conformidade e proteção de dados.

Artigos Relacionados:
First signs of AI-enabled ransomware attacks emerge
First signs of AI-enabled ransomware attacks emerge
 Explorando a adoção de IA: Da curiosidade à clareza
Explorando a adoção de IA: Da curiosidade à clareza
 PoisonGPT: Armazenando IA para desinformação
PoisonGPT: Armazenando IA para desinformação
 DarkBard: The “Evil Twin” of Google Bard
DarkBard: The “Evil Twin” of Google Bard
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.