14 de dezembro de 2022

Um vídeo deepfake do antigo diretor executivo da FTX, Sam Bankman-Fried (SBF), foi posto a circular no Twitter - os autores de fraudes procuram roubar fundos aos utilizadores da bolsa de criptomoedas que entrou em colapsoO site da Internet, o "site de vendas", atraiu os telespectadores para um site onde supostamente poderiam ser compensados pelas suas perdas enviando tokens criptográficos e recebendo o dobro em troca.

Os burlões, pegando em imagens antigas de entrevistas de Bankman-Fried, usaram um emulador de voz para capturar a sua imagem. Esta não é a primeira vez que um deepfake foi usado para enganar aqueles na indústria de criptografia. Em julho de 2022, um golpe sofisticado usando a tecnologia deepfake conseguiu drenar a liquidez da bolsa de criptografia brasileira, BlueBenx, fazendo-se passar pelo diretor de operações da Binance.

O recente caso de deepfake da SBF é a ponta do icebergue. Os criminosos têm agora acesso à tecnologia e aos meios para criar deepfakes incrivelmente realistas e convincentes. E estão a utilizar essas deepfakes para lançar ataques em grande escala contra organizações e os seus utilizadores em todo o mundo.

Este artigo irá:

  • Veja como os criminosos estão a usar deepfakes para atacar organizações
  • Verificar se os humanos conseguem detetar com êxito as falsificações profundas
  • Recomendar medidas que as organizações podem tomar para se defenderem contra a crescente ameaça de deepfake.

Como é que os Deepfakes estão a ser utilizados para atacar as organizações?

Videoconferência

A pandemia mundial acelerou a transição das actividades presenciais para as actividades à distância. Graças a este facto, o mercado das videoconferências O mercado de trabalho está em plena expansão e prevê-se que continue a crescer. Agora que muitas organizações estão a comunicar remotamente com colegas, utilizadores e candidatos a emprego, os criminosos estão a utilizar deepfakes para explorar este canal.

Estão a fazê-lo de várias formas. Por um lado, os deepfakes estão a ser utilizados para melhorar o tradicional BEC (Business Email Compromise), também conhecido como fraude do CEO. O BEC é um ataque de engenharia social altamente direcionado, em que os criminosos se fazem passar pelo líder de uma organização para convencer o pessoal a executar acções, como efetuar pagamentos, mudar a folha de pagamentos e divulgar informações sensíveis. Ao imitar os rostos e as vozes dos indivíduos durante as videochamadas, os deepfakes podem tornar as fraudes BEC muito mais convincentes.

E não é só isso. Em 2022, o FBI alertou para o facto de os deepfakes estarem também a ser utilizados para candidaturas fraudulentas a empregos remotos na área da tecnologia. Leia mais sobre como os deepfakes são utilizados em esquemas de trabalho remoto aqui.

Verificação de rosto

A verificação biométrica facial permite que os utilizadores verifiquem a sua identidade e obtenham acesso a um serviço em linha digitalizando um documento de identificação emitido pelo governo e o seu rosto. Podem então utilizar o seu rosto sempre que desejarem autenticar-se e regressar ao serviço.

A verificação facial automatizada é um meio altamente seguro e utilizável de verificação de identidade para a integração. Outros métodos remotos, como as videochamadas entre funcionários e utilizadores, requerem recursos dispendiosos e podem dar origem a erros humanos. Da mesma forma, como método de autenticação, a verificação facial oferece às organizações a oportunidade de sem palavra-passe e resolve os problemas de segurança e usabilidade que vêm com Autenticação OTP.

No entanto, como o a utilização da verificação facial aumentouNo entanto, os maus actores conceberam novas formas de contornar estes sistemas para obter acesso não autorizado aos serviços em linha. Um desses métodos é a criação e utilização de deepfakes. De seguida, vamos explorar as formas como os criminosos tentam alcançar este objetivo.

Como é que os criminosos estão a utilizar os Deepfakes para explorar a verificação facial?

Ataques de apresentação

Um ataque de apresentação é um ato de mostrar um artefacto à câmara virada para o utilizador para se fazer passar por um cliente bancário legítimo, para tentar falsificar a sequência de autenticação facial. Estes artefactos podem assumir a forma de imagens estáticas, vídeos (por exemplo, repetições de tentativas de autenticação anteriores) e máscaras de alta qualidade. Um vídeo deepfake reproduzido num dispositivo e colocado em frente à câmara é outro exemplo de um ataque de apresentação.

Os deepfakes apresentados podem ser realistas e convincentes. Um ecrã não refletor num ecrã de retina faz com que as imagens pareçam extremamente nítidas, de modo a que os pixels não sejam visíveis a olho nu ou à distância. Para se defenderem contra ataques de apresentação, incluindo deepfakes apresentados, os sistemas biométricos de verificação facial devem incorporar a deteção de vivacidade, que exploraremos mais adiante.

Ataques de injeção digital

As imagens injectadas digitalmente permitem aos criminosos injetar deepfakes, quer de indivíduos sintéticos quer genuínos, diretamente no fluxo de dados ou no processo de autenticação.

Ataques de injeção digital são a forma mais perigosa de ameaça porque são mais difíceis de detetar do que os ataques de apresentação e podem ser replicados rapidamente. Não têm nenhuma das pistas que os artefactos têm quando são apresentados à câmara, o que torna os ataques mais sofisticados difíceis de distinguir pelos sistemas e quase impossíveis para os humanos.

Estes ataques são também muito mais escaláveis. O processo de criar um deepfake e apresentá-lo a uma câmara pode ser eficaz, mas o seu alcance é limitado. O criminoso só pode fazer isto uma vez de cada vez.

Os ataques de injeção digital, por outro lado, podem ser executados a partir do computador de um atacante. Ou podem ser feitos usando milhares de dispositivos clonados num centro de dados operado por uma rede criminosa.

Os humanos podem ser fiáveis na deteção de falsificações profundas?

O deepfake da SBF foi ridicularizado pela sua fraca qualidade. Alguns utilizadores do Twitter detectaram claramente que não se tratava de um vídeo real. Seja como for, a investigação demonstrou que os humanos são totalmente incapazes de detetar deepfakes, especialmente quando têm uma certa qualidade.

Num estudo realizado pelo Instituto de Investigação IDIAPNo estudo, os participantes foram confrontados com deepfakes progressivamente mais convincentes, intercalados com vídeos reais, e foi-lhes perguntado: "O rosto da pessoa no vídeo é real ou falso? Apenas 24% dos participantes detectaram com sucesso um deepfake "bem feito".

Apesar de a investigação demonstrar o contrário, os seres humanos estão injustificadamente confiantes na sua capacidade de detetar com êxito as falsificações profundas. Num inquérito recente realizado pela iProov, 57% dos consumidores estavam confiantes de que conseguiam distinguir entre um vídeo real e imagens sintéticas.

A incapacidade humana de distinguir entre uma pessoa real e um deepfake coloca um problema para as organizações que conduzem verificação da identidade através de videoconferência. Trata-se de uma confiança deslocada, uma vez que o olho humano pode ser facilmente falsificado. As organizações têm poucas garantias de que os utilizadores a quem é concedido acesso a um serviço online através de videoconferência são de facto reais e não um deepfake. É necessário um software especializado para fornecer este nível de garantia.

Como é que as organizações se podem defender contra a ameaça Deepfake?

Deteção de vivacidade

Deteção de vivacidade é incorporada em sistemas de verificação e autenticação de rostos para distinguir se o indivíduo que afirma a sua identidade é uma pessoa real e não um artefacto apresentado.

Há várias formas de um sistema de verificação facial conseguir este objetivo. Uma delas é pedir ao utilizador que execute acções, como ler uma sequência de caracteres em voz alta, piscar os olhos ou mover a cabeça. No entanto, os deepfakes podem ser codificados para fazer estas coisas da mesma forma. Também levanta algumas questões complicadas questões relacionadas com a acessibilidade e a inclusão.

Outra abordagem consiste em detetar a vivacidade de forma passiva, ou seja, sem dar instruções ao utilizador para realizar acções e, em vez disso, utilizando pistas das imagens para distinguir entre o real e o falso. Desta forma, a tecnologia faz o trabalho para o utilizador de forma intuitiva.

A tecnologia de deteção de vivacidade pode, portanto, detetar um deepfake se este for utilizado como parte de um ataque de apresentação. Mas, como mencionado anteriormente, os criminosos têm agora a capacidade de injetar deepfakes diretamente no fluxo de dados, contornando completamente o sistema de autenticação.

Biometria única

Para casos de utilização de alto risco, como a abertura de uma nova conta ou a transferência de uma grande quantia de dinheiro, a maioria das tecnologias de deteção de vivacidade não oferece um nível de garantia suficientemente elevado. As falsificações profundas podem imitar uma pessoa que se verifica a si própria, o que algumas tecnologias de deteção de vivacidade não conseguem detetar. São necessários métodos avançados para garantir a segurança contra tipos de ameaças avançadas.

A biometria única que garante a vivacidade e que um utilizador é uma pessoa real, verificando em tempo real, é essencial na estratégia de defesa de uma organização contra deepfakes

Uma biometria de uso único é um método de autenticação que ocorre em tempo real para garantir que um utilizador está "vivo" e genuinamente presente. Uma biometria de uso único nunca é repetida durante a vida de um utilizador e tem uma duração limitada, não podendo ser reutilizada ou recriada e sendo inútil se for roubada.

Uma forma de o conseguir com um dispositivo normal é utilizar o ecrã para projetar uma iluminação controlada no rosto do utilizador para criar uma biometria única. Uma vez utilizada, não pode ser reproduzida por uma pessoa que tente utilizar uma autenticação anterior para falsificar o sistema.

Outra vantagem é que, se for roubado, não tem qualquer valor porque é único e fica obsoleto assim que é utilizado.

Solicite uma demonstração aqui para saber como o iProov utiliza a deteção de vivacidade e a biometria de uso único para garantir que um utilizador é a pessoa certa, uma pessoa real e genuinamente presente no momento da autenticação.

A fraude com criptomoedas FTX realça a ameaça das "deepfakes