Suplantação de clientes, funcionários ou executivos, manipulação de processos de autorização de transferências ou de acesso a sistemas internos… A proliferação de tecnologias de geração de conteúdo artificial, como os deepfakes de voz, vídeo ou imagem, provocou um forte aumento das fraudes, que se multiplicaram quase cinquenta vezes em apenas dois anos.
O relatório do Citi Institute, «Deepfakes com IA: Quando a vista e o ouvido não são confiáveis», analisa como os deepfakes (voz e vídeo sintéticos) estão se espalhando nos âmbitos da seleção de pessoal, das operações financeiras e da suplantação de identidade de executivos. As conclusões exigem uma mudança em direção à verificação contínua e à comunicação de confiança zero.
Os criminosos aproveitam ferramentas cada vez mais acessíveis — com barreiras técnicas menores e custos mais baixos — para clonar vozes de clientes em centros de contato, falsificar vídeos de executivos autorizando operações ou até mesmo configurar identidades sintéticas em bancos ou outras instituições financeiras.
A empresa revela que ocorreram vários fraudes financeiras pontuais de grande impacto nos quais deepfakes foram utilizados para suplantar a identidade de executivos de confiança para autorizar ou redirecionar pagamentos. Diferentemente dos casos de infiltração sistêmica, o objetivo aqui é obter um benefício econômico imediato em vez de um acesso a longo prazo.
Representações sintéticas de diretores
Em um caso amplamente divulgado em 2024, uma multinacional britânica foi vítima de uma fraude surpreendentemente sofisticada: um funcionário de seu escritório em Hong Kong recebeu o que parecia ser uma videochamada do diretor financeiro e de outros altos executivos, que o instavam a realizar transferências urgentes de dinheiro para uma transação confidencial.
Na realidade, as vozes e imagens dos executivos haviam sido manipuladas por meio de deepfakes e todos os participantes da chamada, exceto o funcionário, eram representações sintéticas. O funcionário realizou 15 transferências separadas, totalizando aproximadamente 200 milhões de dólares de Hong Kong (cerca de 25 milhões de dólares dos EUA) para uma conta no exterior antes que o engano fosse descoberto.
Segundo os analistas do Citi, esses ataques estão provocando contratações de pessoal sob pressão. Assim, a empresa tecnológica Money20/20 USA informou que até 50% das solicitações de emprego que recebe são falsas, já que os cibercriminosos tentam se infiltrar em entidades estratégicas. Outras estimativas projetam que um em cada quatro perfis de candidatos pode ser fraudulento até 2028.
Os ataques também são patrocinados por Estados; por exemplo, acredita-se que agentes informáticos norte-coreanos se infiltraram em aproximadamente 320 empresas no ano passado por meio de identidades sintéticas.
Por Pedro Pligher