As medidas mais indicadas para proteger as empresas das deep fakes 

A tecnologia continuará a evoluir e será mais difícil identificar deep fakes. À medida que pessoas e empresas forem adotando o Metaverso e a Web 3.0, é provável que avatares sejam usados para acessar e consumir uma ampla gama de serviços, elevando os riscos.

David Fairman (*) 

A utilização crescente de apps para fotos e vídeo, principalmente pelos jovens, está adicionando combustível a um vetor de fraude emergente, a deep fake, que se revelará extremamente desafiadora tanto para as empresas quanto para os consumidores. 

O nome deep fake é derivado da tecnologia que possibilitou o seu desenvolvimento, ou seja, o Deep Learning, que é um subconjunto de Inteligência Artificial (IA) que imita a forma como os seres humanos adquirem conhecimento. Com o aprendizado profundo, os algoritmos aprendem por meio de vastos conjuntos de dados, sem a ajuda de supervisão humana. Quanto maior for o conjunto, mais exato o algoritmo. 

A deep fake usa Inteligência Artificial para criar arquivos de vídeo ou áudio altamente convincentes que imitam um terceiro – por exemplo, um vídeo de uma celebridade dizendo algo que essa pessoa de fato não disse. Deep fakes são produzidas por uma ampla gama de razões, legítimas ou ilegítimas, que podem ser: sátira, entretenimento, fraude, manipulação política e a geração de fake news.   

Perigo real e atual 

As deep fakes representam para a sociedade um perigo real e atual devido aos riscos associados à capacidade de colocar palavras na boca de pessoas poderosas, influentes ou de confiança, tais como políticos, jornalistas, celebridades e outros formadores de opinião. Além disso, os deep fakes também representam uma clara e crescente ameaça às empresas, que incluem: 

  • Extorsão: ameaçar a liberação de imagens falsas e comprometedoras de um executivo para obter acesso a sistemas corporativos, dados ou recursos financeiros; 
  • Fraude: imitar um funcionário e/ou cliente usando deep fakes para obter acesso a sistemas corporativos, dados ou recursos financeiros; 
  • Autenticação: manipular por meio de deep fakes a verificação ou autenticação de identidade que se baseia em biometria, como padrões de voz ou reconhecimento facial para acessar sistemas, dados ou recursos financeiros; 
  • Risco de reputação: usar deep fakes para prejudicar a reputação de uma empresa e/ou seus funcionários junto aos clientes e outras partes interessadas.   

Oferta de deep fakes como serviço 

Dos riscos associados às deep fakes, o impacto sobre a fraude é um dos mais preocupantes para as empresas hoje em dia. Observamos o surgimento de ferramentas de deep fake sendo oferecidas como um serviço na Deep Web, tornando mais fácil e mais barato para os criminosos lançarem tais esquemas de fraude, mesmo que eles tenham um entendimento técnico limitado.

Vale destacar também que o lançamento de grandes volumes de imagens e vídeos que os usuários postam de si mesmos em plataformas de mídia social funcionam como grandes inputs para que os algoritmos de Deep Learning se tornem cada vez mais convincentes. 

São três os principais tipos de fraudes em relação às quais as equipes de segurança corporativa devem ficar alertas: 

  • Fraude fantasma: ocorre quando um criminoso usa os dados de uma pessoa que morreu para criar uma deep fake que pode ser empregada, por exemplo, para acessar serviços on-line ou solicitar cartões de crédito ou empréstimos; 
  • Fraude de identidade: nesta modalidade, os fraudadores extraem dados de muitas pessoas diferentes para criar uma identidade para uma pessoa que não existe. A identidade é então utilizada para solicitar cartões de crédito ou para realizar grandes transações; 
  • Fraude financeira: neste caso, identidades roubadas ou falsas são usadas para abrir novas contas bancárias. O criminoso, então, maximiza os cartões de crédito e empréstimos associados.

Medidas de defesa

Identifiquei cinco passos principais que todas as empresas devem adotar para proteger seus dados, finanças e reputação frente à crescente sofisticação e prevalência da fraude deep fake. São eles: 

  1. Planejar procedimentos de resposta e simulações. Deep fakes devem ser incorporados ao planejamento de cenários e testes de crise. Os planos devem incluir classificação de incidentes e delinear processos claros de comunicação para estas ocorrências, escalação e procedimentos de comunicação, particularmente quando se trata de mitigar o risco de reputação; 
  2. Educar os funcionários. Assim como as equipes de segurança educam os funcionários para detectar e-mails de phishing, elas devem também aumentar a conscientização sobre deep fakes. Como em outras áreas de segurança cibernética, os funcionários devem ser vistos como uma importante linha de defesa, especialmente dado o uso de deep fakes para engenharia social;
  3. Adotar procedimentos secundários de verificação para transações sensíveis.   Não confie, verifique sempre. Tenha métodos secundários para verificação ou call back, tais como marca d’água em arquivos de áudio e vídeo, autenticação por etapas ou controle duplo; 
  4. Colocar em prática a contratação de seguro para proteção. À medida que a ameaça de deep fake cresce, as seguradoras, sem dúvida, oferecerão uma gama mais ampla de opções;
  5. Atualizar avaliações de risco. Incorporar deep fakes no processo de avaliação de risco para canais e serviços digitais. 

Nos próximos anos, a tecnologia continuará a evoluir, e será mais difícil identificar deep fakes. De fato, à medida que as pessoas e as empresas forem adotando o Metaverso e a Web 3.0, é provável que avatares sejam usados para acessar e consumir uma ampla gama de serviços.

A menos que sejam estabelecidas proteções adequadas, estes avatares nativos digitais provavelmente serão mais fáceis de falsificar do que os seres humanos. Entretanto, a tecnologia avançará tanto para explorar quanto para detectar as falsificações.

As equipes de segurança devem procurar se manter atualizadas sobre novos avanços na detecção e no desenvolvimento de outras tecnologias para ajudar a combater esta ameaça. A direção da jornada para as deep fakes é clara e as empresas devem começar a se preparar agora. 

(*) Chief Information Officer & Chief Security Officer APAC na Netskope  

 

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *