Um vídeo deepfake do ex-CEO da FTX, Sam Bankman-Fried (SBF), circulou no Twitter - fraudadores tentando roubar fundos dos usuários da bolsa de criptomoedas que entrou em colapsoO site da empresa, o "The New York Times", atraiu os espectadores para um site no qual eles supostamente poderiam ser compensados por suas perdas enviando tokens de criptografia e recebendo o dobro em troca.
Os fraudadores, usando imagens de entrevistas antigas de Bankman-Fried, usaram um emulador de voz para capturar sua semelhança. Esta não é a primeira vez que um deepfake é usado para enganar as pessoas do setor de criptografia. Em julho de 2022, uma fraude sofisticada usando a tecnologia deepfake conseguiu drenar a liquidez da bolsa de criptomoedas brasileira BlueBenx, fazendo-se passar pelo COO da Binance.
O recente deepfake de alto perfil da SBF é a ponta do iceberg. Os criminosos agora têm acesso à tecnologia e aos meios para criar deepfakes incrivelmente realistas e convincentes. E eles estão usando esses deepfakes para lançar ataques em larga escala contra organizações e seus usuários em todo o mundo.
Este artigo abordará:
- Veja como os criminosos estão usando deepfakes para atacar organizações
- Examinar se os seres humanos podem detectar deepfakes com sucesso
- Recomendar as medidas que as organizações podem adotar para se defender contra a crescente ameaça de deepfake.
Como os deepfakes estão sendo usados para atacar as organizações?
Videoconferência
A pandemia global acelerou a transição das atividades presenciais para as remotas. Graças a isso, o mercado de videoconferência cresceu e espera-se que continue crescendo. Agora que muitas organizações estão se comunicando com colegas, usuários e candidatos a emprego remotamente, os criminosos estão usando deepfakes para explorar esse canal.
Eles estão fazendo isso de várias maneiras. Por um lado, os deepfakes estão sendo usados para aprimorar o BEC (Business Email Compromise) tradicional, também conhecido como fraude de CEO. O BEC é um ataque de engenharia social altamente direcionado em que os criminosos se fazem passar pelo líder de uma organização para convencer a equipe a executar ações, como fazer pagamentos, mudar a folha de pagamento e divulgar informações confidenciais. Ao imitar os rostos e as vozes dos indivíduos durante as chamadas de vídeo, os deepfakes podem tornar os golpes de BEC muito mais convincentes.
E não é só isso. Em 2022, o FBI alertou que os deepfakes também estão sendo usados para candidaturas fraudulentas a empregos remotos na área de tecnologia. Leia mais sobre como os deepfakes são usados em golpes de trabalho remoto aqui.
Verificação de rosto
A verificação biométrica facial permite que os usuários verifiquem sua identidade e obtenham acesso a um serviço on-line digitalizando um documento de identidade emitido pelo governo e seu rosto. Em seguida, eles podem usar seu rosto sempre que quiserem se autenticar e retornar ao serviço.
A verificação facial automatizada é um meio altamente seguro e utilizável de verificação de identidade para integração. Outros métodos remotos, como videochamadas entre funcionários e usuários, exigem recursos caros e apresentam risco de erro humano. Da mesma forma, como método de autenticação, a verificação facial oferece às organizações a oportunidade de sem senha e resolve os problemas de segurança e usabilidade que vêm com o Autenticação OTP.
No entanto, como o o uso da verificação facial aumentouNo entanto, os malfeitores criaram novas maneiras de burlar esses sistemas para obter acesso não autorizado aos serviços on-line. Um desses métodos é a criação e o uso de deepfakes. A seguir, exploraremos as maneiras pelas quais os criminosos tentam fazer isso.
Como os criminosos estão usando deepfakes para explorar a verificação facial?
Ataques de apresentação
Um ataque de apresentação é um ato de segurar um artefato na câmera voltada para o usuário para se passar por um cliente legítimo do banco, para tentar falsificar a sequência de autenticação facial. Esses artefatos podem assumir a forma de imagens estáticas, vídeos (por exemplo, repetições de tentativas de autenticação anteriores) e máscaras de alta qualidade. Um vídeo deepfake reproduzido em um dispositivo e mantido na frente da câmera é outro exemplo de um ataque de apresentação.
Os deepfakes apresentados podem ser realistas e convincentes. Uma tela não reflexiva em um monitor de retina faz com que as imagens pareçam extremamente nítidas, de modo que os pixels não sejam visíveis a olho nu ou à distância. Para se defender contra ataques de apresentação, inclusive deepfakes apresentados, os sistemas biométricos de verificação facial devem incorporar a detecção de vivacidade, que exploraremos mais adiante.
Ataques de injeção digital
As imagens injetadas digitalmente permitem que os criminosos injetem deepfakes, de indivíduos sintéticos ou genuínos, diretamente no fluxo de dados ou no processo de autenticação.
Ataques de injeção digital são a forma mais perigosa de ameaça porque são mais difíceis de detectar do que os ataques de apresentação e podem ser replicados rapidamente. Eles não têm nenhuma das pistas que os artefatos têm quando são apresentados à câmera, o que torna os ataques mais sofisticados difíceis de serem distinguidos pelos sistemas e quase impossíveis para os humanos.
Esses ataques também são muito mais dimensionáveis. O processo de criar um deepfake e apresentá-lo a uma câmera pode ser eficaz, mas seu escopo é limitado. O criminoso só pode fazer isso um de cada vez.
Os ataques de injeção digital, por outro lado, podem ser executados a partir do computador de um invasor. Ou podem ser feitos usando milhares de dispositivos clonados em um data center operado por uma rede criminosa.
Os seres humanos podem ser confiáveis para identificar deepfakes?
O deepfake da SBF foi ridicularizado por sua baixa qualidade. Alguns usuários do Twitter perceberam claramente que não se tratava de um vídeo real. Seja como for, a pesquisa mostrou que os seres humanos são totalmente ineptos para detectar deepfakes, especialmente quando eles têm uma certa qualidade.
Em um estudo realizado pela Instituto de Pesquisa IDIAPEm uma pesquisa realizada em um laboratório da Universidade de São Paulo, foi mostrado aos participantes deepfakes cada vez mais convincentes intercalados com vídeos reais e perguntado: "o rosto da pessoa no vídeo é real ou falso? Apenas 24% dos participantes detectaram com sucesso uma deepfake "bem feita".
Apesar de as pesquisas mostrarem o contrário, os seres humanos estão injustificadamente confiantes em sua capacidade de detectar deepfakes com sucesso. Em uma pesquisa recente realizada pela iProov, 57% dos consumidores estavam confiantes de que poderiam distinguir um vídeo real de imagens sintéticas.
A incapacidade humana de distinguir entre uma pessoa real e um deepfake representa um problema para as organizações que conduzem verificação de identidade por meio de videoconferência. Essa confiança é equivocada, pois o olho humano pode ser facilmente falsificado. As organizações têm pouca garantia de que os usuários aos quais é concedido acesso a um serviço on-line por meio de videoconferência são de fato reais, e não um deepfake. É necessário um software especializado para oferecer esse nível de garantia.
Como as organizações podem se defender contra a ameaça Deepfake?
Detecção de vivacidade
A detecção de vivacidade é incorporada aos sistemas de verificação e autenticação facial para distinguir se o indivíduo que está afirmando sua identidade é uma pessoa real e não um artefato apresentado.
Há várias maneiras de um sistema de verificação facial conseguir isso. Uma delas é solicitar que o usuário execute ações, como ler uma sequência de caracteres em voz alta, piscar ou mover a cabeça. No entanto, os deepfakes podem ser codificados para fazer essas coisas da mesma forma. Isso também levanta algumas questões complicadas perguntas sobre acessibilidade e inclusão.
Outra abordagem é detectar a vivacidade passivamente, ou seja, não instruir o usuário a realizar ações e, em vez disso, usar pistas das imagens para distinguir entre real e falso. Dessa forma, a tecnologia faz o trabalho para o usuário de forma intuitiva.
A tecnologia de detecção de vivacidade pode, portanto, detectar um deepfake se ele for usado como parte de um ataque de apresentação. Mas, conforme mencionado anteriormente, os criminosos agora têm a capacidade de injetar deepfakes diretamente no fluxo de dados, ignorando completamente o sistema de autenticação.
Biometria única
Para casos de uso de alto risco, como a abertura de uma nova conta ou a transferência de uma grande quantia de dinheiro, a maioria das tecnologias de detecção de vivacidade não oferece um nível de garantia suficientemente alto. As falsificações profundas podem emular uma pessoa verificando a si mesma, o que algumas tecnologias de vivacidade não conseguem detectar. São necessários métodos avançados para proteger contra tipos de ameaças avançadas.
A biometria única que garante a vivacidade e que um usuário é uma pessoa real, verificando em tempo real, é essencial na estratégia de defesa de uma organização contra deepfakes
Uma biometria de uso único é um método de autenticação que ocorre em tempo real para garantir que um usuário esteja "vivo" e genuinamente presente. Uma biometria de uso único nunca se repete durante a vida do usuário e tem uma duração limitada, que não pode ser reutilizada ou recriada e não tem valor se for roubada.
Uma maneira de conseguir isso com um dispositivo padrão é usar a tela para projetar iluminação controlada no rosto do usuário para criar uma biometria única. Uma vez usada, ela não pode ser reproduzida por uma pessoa que esteja tentando usar uma autenticação anterior para falsificar o sistema.
Outra vantagem é que, se for roubado, ele não terá valor, pois é único e fica obsoleto assim que é usado.
Solicite uma demonstração aqui para saber como o iProov usa a detecção de vivacidade e a biometria de uso único para garantir que um usuário seja a pessoa certa, uma pessoa real e genuinamente presente no momento da autenticação.
