Deepfakes: o que são, como são usados e dicas para se proteger

Você já ouviu falar no termo deepfake? Embora não seja exatamente uma novidade, essa tecnologia está sendo cada vez mais usada pelos criminosos cibernéticos. De acordo com uma pesquisa global efetuada pela VMware em 2022, houve um aumento de 13% no número de ataques com deepfakes em comparação com o ano anterior. O vetor mais comum de entrega, como já podemos imaginar, é o e-mail, através de campanhas de phishing altamente direcionadas.

Mas, no fim das contas, você sabe o que é deepfake? Basicamente, é uma tecnologia que usa algoritmos de inteligência artificial e aprendizado de máquina para a criação de montagens de vídeo e imagens extremamente realistas, que mostram pessoas fazendo coisas que nunca fizeram na vida real. Tudo o que você precisa é de um algoritmo pronto para essa finalidade e algumas “amostras” daquilo que se pretende falsificar: uma mensagem de voz, uma foto ou um vídeo. Pronto, o sistema de aprendizagem de máquina aplica o rosto ou a voz escolhidos a clipes já existentes.

Os vários usos no cibercrime

No início, os deepfakes eram empregados em situações bastante específicas, geralmente com o objetivo de disseminar informações falsas para manipulação da opinião pública na política. 

Contudo, conforme constatado pela pesquisa da VMware, o deepfake está se popularizando de forma mais abrangente entre os cibercriminosos, que passaram a utilizar a técnica para elaborar campanhas de phishing altamente direcionadas e realistas. Imagine, por exemplo, receber uma mensagem de áudio com o tom de voz e cadência de fala fiéis aos do seu superior, solicitando uma transferência bancária urgente. É uma forma bem mais convincente de enganar um colaborador do que um simples e-mail falso, não é mesmo?

Acredite ou não, mas já foram registrados vários incidentes nos quais o uso de deepfakes para fins maliciosos tiveram sucesso. O CEO de uma empresa de energia britânica transferiu nada menos do que US$ 243 mil após receber uma mensagem de áudio simulando com perfeição a voz de um colega de trabalho que também era do alto escalão. Obviamente, a conta corrente para a qual a transferência foi solicitada era do estelionatário, e não do colega em questão.

Indo além do phishing, os deepfakes também podem ser usados para chantagear executivos. Um meliante é capaz de manipular um vídeo constrangedor usando o rosto de seu alvo e extorqui-lo sob ameaça de divulgar o clipe. 

Um golpe difícil de identificar

Infelizmente, o deepfake pode vir em diversos formatos e sua detecção ainda é uma tarefa bastante desafiadora. Afinal, muitos colaboradores mal sabem que esse tipo de tecnologia existe: de acordo com a Kaspersky, mais de 65% dos brasileiros não sabem o que é deepfake. 

“Os cibercriminosos agora estão incorporando deepfakes em seus métodos de ataque para evitar controles de segurança. Os cibercriminosos evoluíram para além do uso de vídeo e áudio sintéticos simplesmente para operações de influência ou campanhas de desinformação. O novo objetivo é usar a tecnologia deepfake para comprometer organizações e obter acesso a elas”, explica Rick McElroy, principal estrategista de segurança cibernética da VMware.

Felizmente, especialistas descobriram uma forma simples de detectar um deepfake em chamadas de vídeo: basta pedir para que o interlocutor vire para o lado. A maioria dos algoritmos ainda é ineficiente em simular rostos nessa posição. Já no que diz respeito às simulações de voz, a dica continua sendo a mesma usada para lidar com as campanhas de phishing tradicionais — sempre que receber uma solicitação suspeita, verifique (se possível, pessoalmente) se a demanda é real antes de realizar qualquer ação.