Publicidade

Deepfake | Empresa perde R$ 127 milhões em golpe de chamada falsa

Por  • Editado por Douglas Ciriaco | 

Compartilhe:
Clker-Free-Vector-Images/Pixabay
Clker-Free-Vector-Images/Pixabay

Uma empresa sofreu um prejuízo de aproximadamente R$ 127 milhões devido a um golpe com deepfake. O caso aconteceu em Hong Kong depois que um funcionário recebeu ordens do suposto CFO (diretor financeiro) da companhia para fazer 15 transferências bancárias.

Todo o processo aconteceu por meio de uma videoconferência feita por golpistas que se passavam pelo executivo. Durante a chamada, os cibercriminosos simularam a imagem e a voz do CFO, que trabalha em Londres.

De início, o funcionário de Hong Kong estranhou a ligação, mas os seus colegas lhe acalmaram após reconhecê-lo no vídeo. Depois, vieram as ordens urgentes para fazer transferências para cinco contas locais que totalizaram 200 milhões de dólares de Hong Kong (R$ 127 milhões em conversão direta).

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
Continua após a publicidade

Videoconferência falsa

Após o incidente, a polícia de Hong Kong foi acionada para apurar o caso. O superintendente Baron Chan aponta que os golpistas utilizaram o WhatsApp, e-mail e videoconferência para convencer os funcionários do escritório de Hong Kong.

As autoridades também indicam que, possivelmente, os cibercriminosos utilizaram gravações de vídeo para personificar o CFO em um deepfake. Para isso, os fraudadores podem ter utilizado gravações de reuniões anteriores para recriar as falas e a imagem com inteligência artificial. 

“Acredito que o fraudador baixou vídeos antecipadamente e depois usou inteligência artificial para adicionar vozes falsas para usar na videoconferência”, disse Chan.

Os nomes dos funcionários e da empresa não foram revelados pelas autoridades.

Cuidado com o deepfake

O deepfake é uma das maiores preocupações da atualidade. Ainda que a técnica de edição possa ser utilizada para o bem, nada impede o uso para aplicar golpes financeiros ou até para compartilhar fake news.

Continua após a publicidade

As edições com IA também já foram utilizadas para casos envolvendo pornografia: no fim de janeiro, o X (ex-Twitter) ficou inundado de nudes falsos da cantora e compositora Taylor Swift.

O gerente de arquitetura de soluções da Compugraf, Rodrigo Rocha, chama a atenção para o nível do avanço das ferramentas de IA para o uso de deepfakes.

“Esse tipo de ataque vai começar a ser cada vez mais comum e as empresas e funcionários precisam cada vez mais se proteger”, destacou ao Canaltech. “Esse ataque à empresa de Hong Kong, só foi possível pois chegou um e-mail com um link para uma reunião falsa e funcionário foi convencido que era um link para uma reunião legitima.”

Por isso é importante manter os olhos abertos mesmo em videoconferência com conhecidos para identificar possíveis deepfakes. 

Continua após a publicidade

Como evitar os golpes com deepfake

Alguns cuidados iniciais podem ser tomados para evitar golpes com deepfake, como prestar a atenção em gestos faciais ou até mesmo as emoções, que podem perder a sincronia durante a fala.

“Repare nas pequenas distorções. A tecnologia cria um vídeo a partir de um rosto 2D, para, em seguida, ajustar para o 3D. Então, repare, por exemplo, para qual lado o nariz está apontando”, orientou o gerente de RedTeam da Redbelt Security, Marcos Almeida. “Além disso, repare em movimentos bruscos, mudanças na luz durante o vídeo, no tom da pele, se a pessoa está piscando ou não, se a boca não está sincronizada com o que a pessoa está falando.”

Já o co-CEO da ISH Tecnologia, Allan Costa, ressalta a importância do investimento em educação contínua para evitar novos incidentes. “Treinamentos regulares sobre segurança da informação para funcionários podem ajudar a aumentar a conscientização sobre as táticas usadas por golpistas, incluindo o uso de deep fakes”, disse.

Continua após a publicidade

Outro caminho complementar é o uso da política da dupla verificação para evitar transferências bancárias ou compartilhamento de dados confidenciais indesejados.

Fonte: The Register, RTHK