Tudo que você precisa saber para proteger sua empresa das deepfakes
*David Fairman, Chief Information Officer & Chief Security Officer APAC na Netskope
A utilização crescente
de apps para fotos e vídeo principalmente pelos jovens está adicionando combustível a um vetor de fraude emergente, a deepfake, que se
revelará extremamente desafiadora tanto para as empresas quanto para os
consumidores.
O que são deepfakes
O nome deepfakes é
derivado da tecnologia que possibilitou o seu desenvolvimento, ou seja, o deep
learning que é um subconjunto de inteligência artificial (IA) que imita a
forma como os seres humanos adquirem conhecimento. Com o aprendizado profundo,
os algoritmos aprendem por meio de vastos conjuntos de dados, sem a ajuda de
supervisão humana. Quanto maior for o conjunto, mais exato o algoritmo.
A deepfake usa
Inteligência Artificial para criar arquivos de vídeo ou áudio altamente
convincentes que imitam um terceiro - por exemplo, um vídeo de uma celebridade
dizendo algo que essa pessoa de fato não disse. Deepfakes são produzidas por
uma ampla gama de razões, legítimas ou ilegítimas, que podem ser: sátira,
entretenimento, fraude, manipulação política e a geração de "fake
news".
O perigo das
deepfakes
A ameaça que as
deepfakes representam para a sociedade é um perigo real e atual devido aos
riscos associados à capacidade de colocar palavras na boca de pessoas
poderosas, influentes ou de confiança, tais como políticos, jornalistas,
celebridades e outros formadores de opinião. Além disso, os deepfakes também
representam uma clara e crescente ameaça às empresas, que incluem:
- Extorsão: Ameaçar a liberação de
imagens falsas e comprometedoras de um executivo para obter acesso a
sistemas corporativos, dados ou recursos financeiros.
- Fraude: Imitar um funcionário
e/ou cliente usando deepfakes para obter acesso a sistemas corporativos,
dados ou recursos financeiros.
- Autenticação: Manipular por meio de
deepfakes a verificação ou autenticação de identidade que se baseia em
biometria, como padrões de voz ou reconhecimento facial para acessar
sistemas, dados ou recursos financeiros.
- Risco de reputação: Usar deepfakes para
prejudicar a reputação de uma empresa e/ou seus funcionários junto aos
clientes e outras partes interessadas.
Oferta de deepfakes como serviço
Dos riscos associados às deepfakes, o impacto sobre a fraude é um
dos mais preocupantes para as empresas hoje em dia. Observamos o surgimento de
ferramentas de deepfake sendo oferecidas como um
serviço na deep web, tornando mais fácil e mais barato para os criminosos
lançarem tais esquemas de fraude, mesmo que eles tenham um entendimento técnico
limitado. Vale destacar também que o lançamento de grandes volumes de imagens e
vídeos que os usuários postam de si mesmos em plataformas de mídia social –
funcionam como grandes inputs para que os algoritmos de deep
learning se tornem cada vez mais convincentes.
Os
três principais tipos de fraudes que as equipes de segurança corporativa devem
ficar alertas:
- Fraude fantasma: Quando um criminoso usa
os dados de uma pessoa que morreu para criar uma deepfake que pode ser
usada, por exemplo, para acessar serviços on-line ou solicitar cartões de
crédito ou empréstimos.
- Fraude de identidade: Nesta modalidade, os
fraudadores extraem dados de muitas pessoas diferentes para criar uma
identidade para uma pessoa que não existe. A identidade é então utilizada
para solicitar cartões de crédito ou para realizar grandes
transações.
- Fraude financeira: Onde identidades
roubadas ou falsas são usadas para abrir novas contas bancárias. O
criminoso, então, maximiza os cartões de crédito e empréstimos associados.
Como a empresa pode se defender
Identifiquei cinco passos principais que todas as empresas devem implementar no momento para proteger seus dados, finanças e reputação frente à crescente sofisticação e prevalência da fraude deepfake, são eles:
- Planejar procedimentos de resposta e simulações. Deepfakes devem ser incorporados
ao planejamento de cenários e testes de crise. Os planos devem incluir
classificação de incidentes e delinear processos claros de comunicação
para estas ocorrências, escalação e procedimentos de comunicação,
particularmente quando se trata de mitigar o risco de reputação.
- Educar os funcionários. Assim como as equipes
de segurança educam os funcionários para detectar e-mails de phishing,
eles devem também aumentar a conscientização sobre deepfakes. Como em
outras áreas de segurança cibernética, os funcionários devem ser vistos
como uma importante linha de defesa, especialmente dado o uso de deepfakes
para engenharia social.
- Adotar procedimentos secundários de verificação para
transações sensíveis. Não confie, verifique sempre. Tenha métodos secundários
para verificação ou call back, tais como marca d'água em arquivos
de áudio e vídeo, autenticação por etapas ou controle duplo.
- Colocar em prática a contratação de seguro para
proteção.
À medida que a ameaça de deepfake cresce, as seguradoras, sem dúvida,
oferecerão uma gama mais ampla de opções.
- Atualizar avaliações de risco. Incorporar deepfakes
no processo de avaliação de risco para canais e serviços digitais.
Nos
próximos anos, a tecnologia continuará a evoluir, e será mais difícil identificar
deepfakes. De fato, à medida que as pessoas e as empresas forem adotando o
Metaverso e a Web 3.0, é provável que avatares sejam usados para acessar e
consumir uma ampla gama de serviços. A menos que sejam estabelecidas proteções
adequadas, estes avatares nativos digitais provavelmente serão mais fáceis de
falsificar do que os seres humanos.
Entretanto, a tecnologia avançará tanto para explorar, quanto para detectar as
falsificações. As equipes de segurança devem procurar se manter atualizadas
sobre novos avanços na detecção e outras tecnologias inovadoras para ajudar a
combater esta ameaça. A direção da jornada para as deepfakes é clara e as empresas
devem começar a se preparar agora.
Nenhum comentário