Inteligência artificial a serviço do crime
Em 2018, cerca de 48 milhões de brasileiros foram vítimas de golpes do tipo phishing, no qual, normalmente, o criminoso envia uma mensagem de e-mail como se fosse uma instituição financeira que exige um recadastramento. Assim, a vítima é redirecionada a um site que contém páginas falsas com a mesma aparência do site oficial da organização mencionada. Uma vez no site falso, a vítima fornece dados sensíveis que os criminosos poderão usar para cometer diversos tipos de delitos. A principal característica desse golpe é o seu poder de persuasão, uma vez que usa táticas de engenharia social (manipulação psicológica) para influenciar a vítima. Desse modo, ao usar símbolos e nomes de organizações oficiais, como bancos e órgãos governamentais, a pessoa é convencida de que se trata de uma comunicação legítima.
De fato, o phishing é um dos golpes mais temidos pelas grandes empresas, visto que é capaz de convencer funcionários e colaboradores a revelar informações estratégicas a concorrentes e criminosos. Por isso, muitas organizações investem em treinamentos, políticas de segurança e conscientização, considerando que não há sistema de segurança capaz de proteger dados sensíveis de uma engenharia social bem aplicada. Nem sempre o phishing pode ser facilmente identificado, mesmo por usuários experientes e bem informados. Imagine agora que, em vez de mensagens de texto, imagens e sites falsos, os criminosos usassem vídeo e/ou voz para enganar as vítimas. Sim, isso é possível!
“A principal característica desse golpe (phishing) é o seu poder de persuasão, uma vez que usa táticas de engenharia social (manipulação psicológica) para influenciar a vítima”
O deepfake (falsificação profunda) é uma técnica de falsificação de vídeos e vozes que usa uma técnica de inteligência artificial (IA) chamada de machine learning (aprendizagem de máquina) para sobrepor o rosto de uma pessoa ao de outra em vídeos e emular sua voz. A cantora Taylor Swift e a atriz Gal Gadot já foram vítimas desse tipo de falsificação ao terem os rostos sobrepostos aos de atrizes pornográficas em vídeos divulgados na internet. Em 2018, com o objetivo de apresentar e discutir o problema, pesquisadores da Universidade de Washington criaram o vídeo intitulado “Fake Obama”, em que o ex-presidente dos EUA aparece falando coisas que jamais falaria. Simplesmente assustador!
Nesse contexto, o Wall Street Journal publicou no dia 30 de agosto deste ano o que pode ser o primeiro caso de vishing (voice phishing ou phishing por voz) baseado em IA. De acordo com o jornal, o criminoso, por meio de uma ligação telefônica, convenceu um executivo de uma importante empresa de energia sediada no Reino Unido a transferir 243 mil dólares para um suposto fornecedor. Segundo a vítima, a voz e o sotaque eram idênticos ao do seu chefe de origem alemã, o que foi suficiente para persuadi-lo a realizar a transferência.
“…o criminoso, por meio de uma ligação telefônica, convenceu um executivo de uma importante empresa de energia sediada no Reino Unido a transferir 243 mil dólares para um suposto fornecedor”
Falsificações desse tipo são possíveis porque a web é repleta de dados de pessoas físicas, principalmente das que são publicamente expostas, como executivos de grandes empresas, celebridades e políticos. Assim, usando softwares de IA, criminosos podem facilmente adulterar vídeos e vozes, criando narrativas e cenários convincentes para as vítimas, inclusive as mais preparadas.
Longe de ser um caso isolado, esse episódio de vishing baseado em IA mostra que o deepfake é um dos grandes problemas que profissionais da segurança da informação, além de pessoas físicas e jurídicas, devem enfrentar. Para isso, são necessários estudos com o objetivo de identificar essas poderosas falsificações. Entretanto, à medida que as tecnologias evoluem e, principalmente, mais e mais dados pessoais são disponibilizados na web, dando munição aos criminosos, fica mais difícil identificar essas falsificações, que antes existiam apenas na ficção. Além de vozes e rostos, tudo indica que sotaques, gestos e trejeitos poderão ser facilmente emulados por um software de IA muito em breve. Por isso, especialistas recomendam confirmar quaisquer instruções transmitidas pelo telefone por outros meios alternativos.
O excesso de zelo trazido pela burocracia pode finalmente fazer sentido, quem diria! Se imaginarmos esse tipo de falsificação sendo usado nas eleições, que historicamente são extremamente conturbadas, fica complicado prever o que será da nossa capenga democracia. Nesse cenário, explicar o óbvio não será simples.
Texto publicado originalmente no Jornal de Jales, coluna Fatecnologia, no dia 24/11/2019 .