Como os colaboradores podem detetar um deepfake

Os esquemas de deepfakes entraram na consciência dos consumidores e das empresas devido à sua crescente sofisticação. Segundo a Check Point Software, a capacidade de imitar um humano com uma qualidade superior é agora muito mais possível do que nunca. Isto deve-se ao facto de o acesso às ferramentas de IA utilizadas para criar deepfakes ser melhor e isto – juntamente com barreiras de baixo custo à entrada – significa que as falsificações convincentes podem ser implementadas em escala.

A investigação da Check Point revelou que, no espaço de 30 segundos ou menos após uma conversa, qualquer pessoa com as ferramentas de IA necessárias pode criar um deepfake a partir da uma voz para qualquer tema que deseje, durante o tempo que quiser, praticamente sem custos. É um fator de mudança e o mesmo se aplica agora ao vídeo.

De acordo com um relatório da Sumsub Research realizado no ano passado, os incidentes globais de deepfake aumentaram dez vezes de 2022 a 2023, com a América do Norte a registar o maior crescimento de ataques de deepfake de 1.740%.

Para as empresas, uma das principais preocupações é saber se um executivo pode ser objeto de um deepfake convincente – ou se um funcionário “privilegiado” pode ser enganado por isso. No início deste ano, um funcionário do setor financeiro atento de Hong Kong foi levado a aprovar um pagamento de 25 milhões de dólares através de uma elaborada videoconferência com um deepfake do diretor financeiro da sua empresa. Em resposta a um pedido de transferência de dinheiro, o funcionário solicitou uma reunião via Zoom e só enviou o dinheiro depois de falar com quem pensava ser o diretor financeiro e vários outros colegas na mesma chamada, todos eles deepfakes. O caso mostrou a evolução da tecnologia e o seu potencial como um novo vetor de ameaça para as burlas comerciais.

Os impactos comerciais significativos associados à utilização maliciosa de deepfakes levam as pessoas e as empresas a perguntar o que podem fazer para se protegerem a si próprias e às suas operações ou como é que podem saber se a pessoa que está do outro lado de uma videoconferência é real e não uma criação da IA.

A um nível mais acima, exige que as pessoas estejam vigilantes e efetuem algumas verificações de senso comum. Em todas as situações, as pessoas tendem a ponderar o que estão a ver e a fazer determinadas avaliações e juízos de risco. Da mesma forma que as pessoas verificam atualmente a veracidade de uma mensagem de correio eletrónico ou do seu conteúdo – verificando a identificação do remetente, passando por cima de um URL ou de um ficheiro anexado, examinando o estilo e a gramática – podem beneficiar da aplicação do mesmo tipo de abordagem às reuniões de videoconferência.

Esta triangulação de indícios e de fatores de risco é uma espécie de “autenticação multifatorial”, diz a Check Point, que é necessária realizar de forma mais consciente nos locais de trabalho.

Uma das primeiras verificações a efetuar está relacionada com a “vivacidade”, nomeadamente pedir à pessoa do outro lado do vídeo para virar a cabeça de um lado para o outro. Isto é eficaz atualmente porque as ferramentas de IA generativas utilizadas para produzir deepfakes não criam uma imagem tridimensional ou de 360 graus da pessoa, apenas conseguem produzir imagens planas viradas para a frente. As vistas laterais da cabeça e do rosto não são apresentadas corretamente. Por isso, se os funcionários suspeitarem, devem pedir à pessoa para se virar para a esquerda ou para a direita e, se o rosto desaparecer, desligar.

Da mesma forma, outros comportamentos humanos naturais frequentemente observados numa videoconferência – alguém que se levanta e coça ou toca na cabeça, por exemplo – também não serão apresentados corretamente com um deepfake.

Isto é eficaz atualmente, mas pode já não ser daqui a pouco tempo. O ritmo acelerado do desenvolvimento da IA generativa significa que as ferramentas irão melhorar a criação de imagens mais realistas das pessoas e dos seus maneirismos, o que poderá tornar a verificação da vivacidade mais difícil ao longo do tempo.

Mas os funcionários podem ser capazes de detetar pistas adicionais de que uma videoconferência com um executivo não é o que parece.

Uma verificação útil quando se recebe uma chamada para uma videoconferência - ou quando se entra numa chamada com vários participantes - é verificar se os participantes estão a utilizar uma versão licenciada da empresa desse software. Isso é muitas vezes óbvio, porque as empresas utilizam um “URL da vaidade” – como companyname.videoplatform.com – para mostrar de onde estão a telefonar. A confiança pode ser reforçada comunicando antecipadamente – através de um método diferente, como o chat ou o email – a forma como o utilizador e as outras pessoas vão participar na videoconferência. Se souber de antemão que vai receber um convite de videoconferência de um determinado domínio da empresa, é mais um "fator" que pode ser tido em conta para determinar se aceita ou não a reunião. Se a reunião for iniciada a partir de uma conta pessoal, ou se alguém se juntar inesperadamente e sem explicação a partir de uma conta pessoal, pode ser um sinal de alerta - e justificar, pelo menos, uma ou duas perguntas ou algumas verificações adicionais.

Uma terceira estratégia útil consiste em acordar palavras de código internas que têm de ser verificadas antes de determinadas ações – como uma transferência de dinheiro – serem executadas. No caso do trabalhador de Hong Kong, isto significaria enviar uma mensagem ao diretor financeiro com quem pensavam estar a falar através de um canal completamente diferente e perguntar: “Qual é a palavra?”. A resposta que receberiam dir-lhes-ia rapidamente se o “CFO” – e o pedido que estava a ser feito – era genuíno ou não.

Os funcionários devem continuar a ser cautelosos e preocupados, utilizar todas as dicas à sua disposição e manter-se atualizados com a evolução da tecnologia de IA, para lidar com a ameaça de se depararem com um deepfake. Os seus esforços podem ser competentemente apoiados pelas organizações que implementam soluções de cibersegurança, incluindo proteções de correio eletrónico robustas, que podem detetar e impedir que muitos convites de reunião maliciosos sejam entregues nas caixas de entrada. Dada a realidade da ameaça, é importante dispor de proteções completas.