8 de julho de 2022
Em junho de 2022, o FBI emitiu um anúncio de serviço público alertando as organizações para um novo risco de cibersegurança: os funcionários "deepfake". De acordo com o alerta, tem havido um aumento de cibercriminosos usando "deepfakes e informações de identificação pessoal (PII) roubadas para se candidatar a uma variedade de posições de trabalho remoto e trabalho em casa".
Os deepfakes são vídeos ou imagens criados com recurso a software alimentado por IA para mostrar pessoas a dizer e a fazer coisas que não disseram ou fizeram. Neste caso, os atacantes estavam a utilizar as PII para roubar identidades e criar deepfakes com o objetivo de garantir empregos.
O FBI informou que os atacantes usaram deepfakes para se candidatarem a cargos em "tecnologia da informação e programação informática, base de dados e funções relacionadas com software".
Porque é que os criminosos estão a usar Deepfakes para se candidatarem a empregos?
Os cibercriminosos estão a utilizar cada vez mais os deepfakes para cometer crimes em linha. Por exemplo, as deepfakes podem ser utilizadas para dar credibilidade a identidades sintéticas, em que o criminoso cria pessoas falsas que não existem. As deepfakes também podem ser utilizadas para a aquisição de contas, em que uma deepfake de uma pessoa real é utilizada para aceder às suas contas.
Em ambos os casos, o objetivo é geralmente o ganho financeiro - abrir um cartão de crédito e carregá-lo até ao limite ou roubar dinheiro da conta de alguém.
Então, porquê usar um deepfake para adquirir um cargo na área da tecnologia? Não é apenas para receber um ordenado mensal. A verdadeira ameaça aqui é que, ao assegurar um cargo técnico dentro da empresa, o atacante tem acesso a "informações pessoais de clientes, dados financeiros, bases de dados de TI da empresa e/ou informações proprietárias", de acordo com o FBI.
Os atacantes podem então utilizar estes dados roubados para pedir um resgate à empresa ou efetuar outros ataques.
Como é que sabemos sobre os funcionários da Deepfake?
O FBI apercebeu-se destes incidentes fraudulentos quando recebeu várias queixas do IC3 (Internet Crime Complaint Center) das organizações que realizaram as entrevistas. Os queixosos relataram que detectaram vídeos de falsificação e deepfake quando falavam com os candidatos. Aconteceram coisas estranhas durante as chamadas, como as bocas e os lábios não estarem alinhados com as palavras ditas no ecrã.
Estas deepfakes parecem muito fáceis de detetar. Mas não nos podemos esquecer que estas foram as tentativas de deepfake que falharam. O que não está claro no anúncio é quantas foram bem-sucedidas.
As entrevistas em vídeo conseguem detetar um Deepfake?
A pandemia global não deu origem ao trabalho remoto, mas tornou-o certamente mais comum. Com a adoção de medidas de distanciamento social, os trabalhadores de todo o mundo trocaram o escritório pela casa.
Embora as regras de distanciamento social sejam atualmente uma coisa do passado em muitos países, o trabalho à distância não o é.
O trabalho à distância tem vantagens reais. Para os empregadores, alarga o leque de talentos. Barreiras como a distância geográfica deixam de ser um problema. Os gestores de contratação podem recrutar os melhores talentos em qualquer parte do mundo.
Para além disso, os trabalhadores querem trabalhar à distância. De acordo com um inquérito realizado pelo Pew Research Centre, 61% dos trabalhadores norte-americanos afirmaram trabalhar à distância por opção.
Mas com as oportunidades vêm as ameaças. A própria natureza do teletrabalho estabelece uma distância entre o empregador e o empregado. É possível que nunca se encontrem pessoalmente. Torna-se muito difícil verificar se alguém é quem diz ser quando se candidata a uma função.
Seria de pensar que falar com alguém através de uma videochamada resolveria este problema. Certamente que, como seres humanos, somos suficientemente hábeis para distinguir entre um ser humano real e uma imitação digital de um?
Mas não é esse o caso. O surgimento de deepfakes cada vez mais convincentes minou a nossa capacidade de distinguir com sucesso uma pessoa da vida real de uma deepfake. Por conseguinte, confiar nas nossas capacidades - ou nas capacidades dos nossos colegas - para fazer esta distinção cria um risco. Este facto também põe em causa a eficácia de qualquer tipo de entrevista em vídeo como medida de segurança. O olho humano pode ser enganado. Será que podemos ter a certeza absoluta de que a pessoa com quem estamos a falar é mesmo real?
As deepfakes também estão a tornar-se mais fáceis de produzir. Com um simples plug-in, os atacantes podem criar o que se designa por "deepfake em tempo real". Isto envolve a sobreposição de imagens para distorcer um vídeo. Este vídeo pode depois ser transmitido em canais de comunicação de chamadas de videoconferência.
A natureza rápida, fácil e acessível dos deepfakes e dos deepfakes em tempo real significa que constituem um método escalável de cometer actividades fraudulentas. À medida que continuamos a trabalhar e a contratar pessoas remotamente, os cibercriminosos desenvolverão deepfakes cada vez mais convincentes para obter acesso a postos de trabalho.
Como é que a autenticação biométrica pode ajudar os empregadores a combater as falsificações profundas?
Os empregadores de todos os sectores devem estar preocupados com esta ameaça crescente. Mas há uma solução.
A tecnologia biométrica facial pode ser utilizada para verificar se uma pessoa é quem diz ser quando realiza uma atividade em linha, como abrir uma conta bancária ou candidatar-se a um emprego.
Neste caso, um candidato pode verificar-se a si próprio quando apresenta a sua candidatura. Pode digitalizar um documento de identificação com fotografia, como uma carta de condução, passaporte ou bilhete de identidade, e depois digitalizar o seu rosto físico para provar que é quem diz ser.
No entanto, isso não prova que sejam reais. Um rosto não pode ser roubado, o que torna a biometria muito segura, mas um rosto pode ser copiado com uma fotografia ou um deepfake.
Para se proteger contra as falsificações profundas, é necessário verificar se uma pessoa é a pessoa certa, mas também se é uma pessoa real e se está a autenticar-se neste momento.
Poderá a vivacidade detetar funcionários Deepfake?
A vivacidade é uma forma de verificação facial que consegue detetar se o rosto que está a ser apresentado à câmara é um ser humano real e vivo. Também detecta se é a pessoa correcta.
A deteção de vivacidade pode, portanto, detetar se alguém está a apresentar uma fotografia, gravação ou máscara da vítima à câmara. Pode também identificar um deepfake caso este seja apresentado à câmara.
O que a vivacidade não pode fazer, no entanto, é proteger contra ataques escaláveis injectados digitalmente. Estes ataques podem contornar completamente os sensores do dispositivo. Veja como funcionam os ataques de injeção digital.
Como é que a vivacidade dinâmica pode detetar falsificações profundas?
O Dynamic Liveness é a única forma de verificar se um indivíduo remoto, que está a afirmar a sua identidade, é a pessoa certa, uma pessoa real e que está a autenticar-se neste momento.
O Dynamic Liveness tem a capacidade de identificar se um indivíduo que afirma a sua identidade é um ser humano real. Mas também foi concebido para detetar ataques injectados digitalmente - aqueles que utilizam frequentemente falsificações profundas para contornar os sensores do dispositivo e falsificar o sistema.
Enquanto que as soluções básicas de vivacidade podem proteger contra ameaças conhecidas - principalmente ameaças de apresentação (artefactos físicos e digitais mostrados num ecrã) - a vivacidade dinâmica oferece defesas contra ataques de injeção digital sintética conhecidos, novos e em evolução.
Isto é conseguido com a tecnologia Flashmark™ do iProov, que ilumina o rosto do utilizador remoto com uma sequência de cores única e aleatória. Isto atenua o risco de repetições ou de manipulação sintética, impedindo a falsificação.
A ameaça do Deepfake: Uma corrida ao armamento
À medida que as falsificações profundas se tornam mais sofisticadas, o mesmo acontece com a segurança biométrica utilizada para as combater.
Na iProov, utilizamos tecnologia de aprendizagem automática, pessoas e processos para detetar e bloquear ataques cibernéticos, incluindo deepfakes. Ao fazê-lo, estamos constantemente a aprender com esses ataques. Isso ajuda a evitar fraudes, roubos, lavagem de dinheiro e outros crimes on-line graves - hoje e amanhã.
Aplicações de emprego Deepfake: Um resumo
- O FBI alertou para o facto de os criminosos estarem a utilizar deepfakes para se candidatarem a empregos remotos na área da tecnologia.
- Ao assegurar uma posição numa organização, o criminoso obtém acesso a sistemas e a informações pessoais que podem conduzir ao roubo de dados e a resgates.
- O trabalho à distância veio para ficar. Mas a realização de entrevistas em vídeo não é um método eficaz de deteção de falsificações profundas, uma vez que o olho humano pode ser enganado.
- Se as organizações quiserem continuar a contratar remotamente, devem adotar medidas de segurança para verificar se os candidatos são quem dizem ser.
- O Dynamic Liveness do iProov e o seu empenho em combater os deepfakes e outros ataques sintéticos ou injectados digitalmente atenuam estes riscos.
Se quiser saber mais sobre como o iProov pode ajudá-lo a proteger-se contra o crime de deepfake utilizando a tecnologia biométrica facial, transfira hoje o nosso relatório completo Work From Clone: