Em junho de 2022, o FBI emitiu um anúncio de serviço público alertando as organizações sobre um novo risco de segurança cibernética: funcionários "deepfake". De acordo com o alerta, houve um aumento no número de criminosos cibernéticos que usam "deepfakes e informações de identificação pessoal (PII) roubadas para se candidatarem a uma variedade de cargos de trabalho remoto e trabalho em casa".
Deepfakes são vídeos ou imagens criados usando software com tecnologia de IA para mostrar pessoas dizendo e fazendo coisas que elas não disseram ou fizeram. Nesse caso, os invasores estavam usando PII para roubar identidades e criar deepfakes com o objetivo de garantir empregos.
O FBI informou que os invasores usaram deepfakes para se candidatar a cargos em "tecnologia da informação e programação de computadores, banco de dados e funções de trabalho relacionadas a software".
Por que os criminosos estão usando deepfakes para se candidatar a empregos?
Os criminosos cibernéticos estão usando cada vez mais deepfakes para cometer crimes on-line. Por exemplo, as deepfakes podem ser usadas para dar credibilidade a identidades sintéticas, em que o criminoso cria pessoas falsas que não existem. As deepfakes também podem ser usadas para a aquisição de contas, em que uma deepfake de uma pessoa real é usada para acessar suas contas.
Em ambos os casos, o objetivo geralmente é o ganho financeiro - abrir um cartão de crédito e estourá-lo, ou roubar dinheiro da conta de alguém.
Então, por que usar um deepfake para conseguir um cargo na área de tecnologia? Não é apenas por um salário mensal. A verdadeira ameaça aqui é que, ao garantir uma função de tecnologia dentro da empresa, o invasor tem acesso a "informações de identificação pessoal do cliente, dados financeiros, bancos de dados de TI corporativos e/ou informações proprietárias", de acordo com o FBI.
Os invasores podem então usar esses dados roubados para pedir resgate à empresa ou realizar outros ataques.
Como sabemos sobre os funcionários da Deepfake?
O FBI tomou conhecimento desses acontecimentos fraudulentos quando recebeu várias reclamações do IC3 (Internet Crime Complaint Center) das organizações que estavam realizando as entrevistas. Os reclamantes relataram que detectaram vídeos de falsificação e deepfake ao falar com os candidatos. Coisas estranhas aconteciam durante as chamadas, como as bocas e os lábios não se alinharem com as palavras que estavam sendo ditas na tela.
Esses deepfakes parecem ser bem fáceis de identificar. Mas não podemos nos esquecer de que essas foram as tentativas de deepfake que falharam. O que não está claro no anúncio é quantas foram bem-sucedidas.
As entrevistas em vídeo podem identificar um Deepfake?
A pandemia global não deu origem ao trabalho remoto, mas certamente o tornou mais comum. À medida que as medidas de distanciamento social foram implementadas, os trabalhadores de todo o mundo trocaram o escritório pela casa.
Embora as regras de distanciamento social sejam agora uma coisa do passado em muitos países, o trabalho remoto não é.
O trabalho remoto traz benefícios reais. Para os empregadores, ele amplia o leque de talentos. Barreiras como a distância geográfica não são mais um problema. Os gerentes de contratação podem recrutar os melhores talentos em qualquer lugar do mundo.
Além disso, os funcionários querem trabalhar remotamente. De acordo com uma pesquisa do Pew Research Centre, 61% dos trabalhadores dos EUA declararam que estavam trabalhando remotamente por opção.
Mas com as oportunidades vêm as ameaças. A própria natureza do trabalho remoto cria uma distância entre o empregador e o funcionário. Talvez eles nunca se encontrem pessoalmente. Torna-se muito difícil verificar se alguém é quem diz ser quando está se candidatando a uma vaga.
Seria de se esperar que falar com alguém por meio de uma chamada de vídeo resolveria esse problema. Certamente, como seres humanos, somos hábeis o suficiente para distinguir entre um ser humano real e uma imitação digital de um?
Mas esse não é o caso. O surgimento de deepfakes cada vez mais convincentes minou nossa capacidade de distinguir com sucesso uma pessoa da vida real de um deepfake. Portanto, confiar em nossas habilidades - ou nas habilidades de nossos colegas - para fazer essa distinção cria um risco. Isso também questiona a eficácia de qualquer tipo de entrevista em vídeo como medida de segurança. O olho humano pode ser falsificado. Será que podemos ter certeza absoluta de que a pessoa com quem estamos falando é real?
As deepfakes também estão se tornando mais fáceis de produzir. Com um simples plug-in, os invasores podem criar o que é chamado de "deepfake em tempo real". Isso envolve a sobreposição de imagens para distorcer um vídeo. Esse vídeo pode então ser transmitido em canais de comunicação de chamadas de videoconferência.
A natureza rápida, fácil e econômica dos deepfakes e dos deepfakes em tempo real significa que eles oferecem um método escalável de cometer atividades fraudulentas. À medida que continuamos a trabalhar e a contratar pessoas remotamente, os criminosos cibernéticos desenvolverão deepfakes cada vez mais convincentes para obter acesso a vagas de emprego.
Como a autenticação biométrica pode ajudar os empregadores a combater as falsificações profundas?
Os empregadores de todos os setores devem se preocupar com essa ameaça crescente. Mas há uma solução.
A tecnologia de biometria facial pode ser usada para verificar se uma pessoa é quem diz ser quando realiza uma atividade on-line, como abrir uma conta bancária ou candidatar-se a um emprego.
Nesse caso, o solicitante poderia verificar a si mesmo ao enviar sua solicitação. Ele poderia digitalizar um documento de identificação com foto, como uma carteira de motorista, passaporte ou carteira de identidade, e depois digitalizar seu rosto para provar que é quem diz ser.
No entanto, isso não prova que eles são reais. Um rosto não pode ser roubado, o que torna a biometria muito segura, mas um rosto pode ser copiado com uma fotografia ou deepfake.
Se você quiser se proteger contra deepfakes, precisará verificar se uma pessoa é a pessoa certa, mas também se ela é uma pessoa real e se está se autenticando no momento.
A vivacidade pode detectar funcionários de Deepfake?
A vivacidade é uma forma de verificação facial que pode detectar se o rosto que está sendo apresentado à câmera é um ser humano real e vivo. Ele também detecta se é a pessoa correta.
A detecção de vivacidade, portanto, pode detectar se alguém está apresentando uma imagem, gravação ou máscara da vítima para a câmera. Ela também pode identificar um deepfake caso ele seja apresentado à câmera.
O que a vivacidade não pode fazer, no entanto, é proteger contra ataques escalonáveis injetados digitalmente. Esses ataques podem contornar completamente os sensores do dispositivo. Veja como funcionam os ataques com injeção digital.
Como o Genuine Presence Assurance® pode detectar falsificações profundas?
O Genuine Presence Assurance (GPA) é a única maneira de verificar se um indivíduo remoto, que está afirmando sua identidade, é a pessoa certa, uma pessoa real e que está se autenticando no momento.
O GPA tem a capacidade de identificar se um indivíduo que afirma sua identidade é um ser humano real. Mas ele também foi desenvolvido para detectar ataques injetados digitalmente - aqueles que geralmente usam deepfakes para contornar os sensores do dispositivo e falsificar o sistema.
Enquanto a vivacidade pode proteger contra ameaças conhecidas, principalmente ameaças de apresentação (artefatos físicos e digitais mostrados em uma tela), o GPA oferece defesas contra ataques de injeção digital sintética conhecidos, novos e em evolução.
Ele faz isso com a tecnologia Flashmark™ do iProov, que ilumina o rosto do usuário remoto com uma sequência única e aleatória de cores. Isso reduz o risco de replays ou de manipulação sintética, impedindo a falsificação.
Saiba mais sobre a Garantia de Presença Genuína aqui.
A ameaça do Deepfake: Uma corrida armamentista
À medida que as falsificações profundas se tornam mais sofisticadas, o mesmo deve acontecer com a segurança biométrica usada para combatê-las.
Na iProov, usamos tecnologia de aprendizado de máquina, pessoas e processos para detectar e bloquear ataques cibernéticos, inclusive deepfakes. Ao fazer isso, estamos constantemente aprendendo com esses ataques. Isso ajuda a evitar fraudes, roubos, lavagem de dinheiro e outros crimes on-line graves hoje e amanhã.
Aplicativos de emprego Deepfake: Um resumo
- O FBI alertou que deepfakes estão sendo usados por criminosos para se candidatarem a empregos remotos na área de tecnologia.
- Ao garantir uma posição em uma organização, o criminoso obtém acesso a sistemas e informações de identificação pessoal que podem levar ao roubo de dados e a resgates.
- O trabalho remoto veio para ficar. Mas a realização de entrevistas em vídeo não é um método eficaz de detectar deepfakes, pois o olho humano pode ser enganado.
- Se as organizações quiserem continuar contratando remotamente, deverão adotar medidas de proteção para verificar se os candidatos são quem dizem ser.
- A Garantia de Presença Genuína da iProov e o compromisso de combater deepfakes e outros ataques sintéticos ou injetados digitalmente reduzem esses riscos.
Se quiser saber mais sobre como o iProov pode ajudá-lo a se proteger contra crimes de deepfake usando a tecnologia de biometria facial, faça o download do nosso relatório completo Work From Clone hoje mesmo:
