Deepfake phishing: o que é e como se manter protegido
Foi-se o tempo em que um vídeo ou uma mensagem de voz podiam nos ajudar a decifrar se uma solicitação era real ou fraudulenta. Hoje em dia, cibercriminosos conseguem criar phishings ultrarrealistas com técnicas de deepfake. Mas… você sabe o que significa cada um desses termos?
O que é phishing, o que é deepfake e, principalmente: o que é deepfake phishing?
Os phishings nada mais são do que as mensagens fraudulentas criadas por cibercriminosos para enganar as pessoas. Seja por e-mail, SMS ou redes sociais, o phishing acontece quando um fraudador efetua uma solicitação fraudulenta para uma vítima por meio de um conteúdo enganoso: um pedido de transferência de dinheiro, um pedido de compartilhamento de credenciais, entre muitos outros pretextos.
Os deepfakes, por outro lado, são conteúdos manipulados que apresentam pessoas agindo de um modo que nunca agiram no mundo real. Hoje em dia, por meio de uma inteligência artificial, praticamente qualquer pessoa podem criar imagens, vídeos ou mensagens de voz extremamente fiéis à fisionomia e à cadência de fala de alguém que você conhece.
Quando um cibercriminoso usa técnicas de deepfake para enganar um internauta, chamamos o golpe de deepfake phishing, que nada mais é do que uma fraude que usa conteúdos ultrarrealistas criados com inteligência artificial.
Como o Deepfake Phishing funciona?
Os golpes de phishing com deepfake são efetuados da seguinte maneira. Em primeiro lugar, o fraudador fabrica conteúdos que parecem extremamente autênticos, personificando uma pessoa que você conhece: o seu chefe, um colega de trabalho, um familiar ou um amigo.
Como isso é feito? O cibercriminoso recolhe imagens e vídeos já existentes da pessoa que se pretende personificar, materiais facilmente encontrados nas mídias sociais. Depois, alimenta um algoritmo de inteligência artificial com esse conteúdo. Pronto! Agora, o sistema pode imitar essa pessoa quase que perfeitamente, criando vídeos, imagens e áudios falsos que podem enganar até mesmo os olhos e ouvidos mais treinados.
O deepfake phishing tem sido insistentemente usado por cibercriminosos para direcionar ataques cibernéticos contra empresas. Uma das formas mais comuns é criando vídeos fraudulentos de CEOs ou executivos de alto escalão pedindo que um colaborador faça transferências financeiras urgentes ou compartilhe credenciais de acesso a sistemas.
Os gatilhos mais comuns
Assim como em outros tipos de phishing, os criminosos empregam diferentes gatilhos mentais para tornar a fraude de deepfake phishing ainda mais convincentes. Alguns deles são:
-
Autoridade: personificando autoridades, como CEOs e outros executivos C-level, ou mesmo colaboradores de bancos ou de governos, os cibercriminosos conseguem com que as vítimas acatem as solicitações fraudulentas mais facilmente.
-
Urgência: uma solicitação fraudulenta quase sempre terá um tom de urgência ou ameaça, anunciando más consequências caso uma ação imediata não seja tomada: perda de clientes ou de fornecedores se uma transferência financeira não for feita, interrupção de algum sistema se uma credencial não for compartilhada, entre outros.
-
Escassez: oportunidades imperdíveis e benefícios exclusivos também estão no leque de argumentos de um cibercriminoso para convencer as vítimas a tomar uma ação rapidamente.
Entre os riscos associados a cair em uma fraude de deepfake, estão o roubo de identidade, fraudes financeiras e prejuízos à própria reputação ou à reputação da empresa.
Como identificar um golpe por deepfake?
Os phishings por deepfakes são crimes quase perfeitos, é verdade. Mas quase sempre é possível notar algumas inconsistências que te ajudam a identificar uma fraude:
-
Movimentos não naturais dos olhos e da boca: deepfakes frequentemente apresentam movimentos não naturais dos olhos e da boca. Piscadas estranhas e lábios mal sincronizados com a fala são algumas falhas comuns.
-
Atenção aos detalhes de mãos, cabelo e outras partes do corpo: não raro, é possível notar formatos estranhos ou cortados das mãos, das orelhas e do cabelo em deepfakes.
-
Voz artificial: desconfie de cadências de fala muito perfeitas, que não apresentem hesitações, correções ou ruídos no fundo. É possível que elas tenham sido criadas com inteligência artificial.
No final das contas, diante de fraudes ultrarrealistas como essas criadas por deepfake, o melhor é sempre desconfiar de solicitações suspeitas. Procure sempre confirmar a veracidade do pedido pessoalmente com o solicitante antes de prosseguir com alguma ação.