Securitywatch: scammers usam phishing com deepfakes

Não recebo muitas perguntas sobre o meu trabalho da minha família. Eles estão, compreensivelmente, muito mais interessados ​​nos hijinks dos meus ratos e do meu cachorro. Mas quando me perguntam sobre segurança, as pessoas invariavelmente querem saber por que as coisas ruins acontecem. Há muitas respostas para essa pergunta, mas a que eu sempre volto é simples: dinheiro.

Ransomware? Dinheiro fácil para atacantes. Phishing? Nada além de dinheiro. Spam? Todos os tipos de maneiras de gerar receita com pessoas clicando em links. Violações de dados? Esse material é usado para fraude e o restante é vendido (para ser usado para mais fraudes). Ataques estaduais da nação? Claro que há ideologia, mas quando você considera que as sanções dos EUA sem dúvida desempenharam um papel na motivação da Rússia para atacar as eleições de 2016, o dinheiro está na equação. E isso sem mencionar os hackers do estado-nação fazendo luar por dinheiro extra.

Não estão nessa lista os deepfakes, vídeos que foram violados, geralmente usando a tecnologia orientada por IA. Vimos rostos de celebridades trocados por corpos de estrelas porno e rostos e vozes de políticos manipulados para fazê-los parecer dizer coisas que na verdade não disseram. Às vezes, eles são feitos para promover conspirações fortemente inflamatórias; mais insidiosos são os momentos em que são manipulados para dizer coisas que os espectadores sugestionáveis ​​podem ter dificuldade em distinguir da verdade.

Os deepfakes têm sido muito comentados nos últimos meses por medo de que possam ser usados ​​em campanhas de desinformação para confundir os eleitores. Isso ainda não aconteceu em larga escala, mas os deepfakes pornográficos já danificaram muitas pessoas. Então, por que chamamos isso de ameaça emergente? Provavelmente porque não havia uma maneira óbvia de monetizar diretamente eles. Isso mudou nesta semana, pois está sendo relatado que os deepfakes têm sido usados ​​para transportar corporações por centenas de milhares de dólares.

Novas ferramentas, o mesmo velho golpe

Em retrospectiva, eu deveria ter visto isso chegando. A engenharia social - uma maneira elegante de dizer "enganar pessoas" - é uma ferramenta consagrada pelo tempo para violar a segurança digital ou simplesmente ganhar dinheiro rapidamente. A adição de deepfakes nos truques é um ajuste perfeito.

O Wall Street Journal relatou que alguns atacantes inteligentes criaram um modelo de voz profunda que costumavam convencer outro funcionário que estavam falando com o CEO da empresa. O funcionário autorizou uma transferência eletrônica de cerca de US $ 243.000. Em seu próprio relatório, o The Washington Post escreveu: "Pesquisadores da empresa de segurança cibernética Symantec disseram ter encontrado pelo menos três casos de vozes de executivos imitadas para enganar empresas". O transporte estimado é medido em milhões de dólares.

Para minha própria edificação, sentei-me e tentei traçar a história dos deepfakes. É realmente um conceito para a era das notícias falsas e começou no final de 2017 em um artigo do Vice sobre pornografia trocada por caras publicado no Reddit. O primeiro uso de "deepfakes" foi na verdade o nome de usuário da pessoa que postou os vídeos pornográficos que mostravam o rosto, mas não o corpo, de Gal Gadot, Scarlett Johansson e outros.

Em apenas alguns meses, a preocupação com os deepfakes mudou-se para a política. Apareceram vídeos exibindo figuras políticas, e foi aqui que eu (e a maioria do resto da comunidade de segurança) fiquei preso. Após as desinformações da Rússia durante as eleições de 2016 nos EUA, a ideia de vídeos falsos quase indistinguíveis inundando o ciclo eleitoral de 2020 foi (e ainda é) um momento terrível. Ele também é manchete e é um desses projetos para o bem público de que as empresas de segurança realmente gostam.

Eu seria negligente se não apontasse as limitações dos deepfakes. Por um lado, você precisa de clipes de áudio da pessoa que está tentando representar. É por isso que celebridades e políticos no centro das atenções nacionais são alvos óbvios para a falsificação profunda. Os pesquisadores, no entanto, já demonstraram que apenas um minuto de áudio é necessário para criar um deepfake de áudio convincente. Ouvir uma ligação de um investidor público, uma entrevista à imprensa ou (se Deus o ajudar) uma palestra no TED provavelmente seria mais do que suficiente.

Além disso, eu me pergunto até que ponto o seu modelo deepfake precisa operar para ser eficaz. Um funcionário de baixo escalão, por exemplo, pode não ter idéia de como o CEO parece (ou até parece), o que me faz pensar se alguma voz plausível e autoritária é suficiente para fazer o trabalho.

Por que o dinheiro é importante

Os criminosos são espertos. Eles querem ganhar o máximo de dinheiro possível, de forma rápida, fácil e com o menor risco possível. Quando alguém descobre uma nova maneira de fazer essas coisas, outras seguem. Ransomware é um ótimo exemplo. A criptografia existe há décadas, mas uma vez que os criminosos começaram a armar isso por dinheiro fácil, isso levou a uma explosão de ransomware.

O Deepfakes sendo usado com sucesso como uma ferramenta no que equivale a um ataque de caça submarina especializado é a prova de um novo conceito. Talvez não funcione da mesma maneira que o ransomware - ainda exige um esforço considerável e os golpes mais simples funcionam. Mas os criminosos provaram que os deepfakes podem funcionar dessa maneira inovadora; portanto, devemos pelo menos esperar mais algumas experiências criminais.

• Como proteger as eleições nos EUA antes que seja tarde demais Como proteger as eleições nos EUA antes que seja tarde demais
• Campanhas de influência eleitoral: baratas demais para que os golpistas deixem passar Campanhas de influência eleitoral: baratas demais para que os golpistas deixem passar
• Agências russas da Intel são uma mistura tóxica de competição e sabotagem Agências russas da Intel são uma mistura tóxica de concorrência e sabotagem

Em vez de segmentar os CEOs, os golpistas poderiam segmentar pessoas comuns para pagamentos menores. Não é difícil imaginar um scammer usando vídeos postados no Facebook ou Instagram para criar modelos de voz em profundidade, para convencer as pessoas que seus familiares precisam de muito dinheiro enviado por transferência bancária. Ou talvez a próspera indústria de robocall receba uma camada profunda para aumentar a confusão. Você pode ouvir a voz de um amigo, além de ver um número de telefone familiar. Também não há razão para que esses processos não possam se automatizar até certo ponto, produzindo modelos de voz e executando scripts pré-organizados.

Nada disso é para descontar o dano potencial dos deepfakes nas eleições ou o dinheiro envolvido nessas operações. À medida que os criminosos se tornam mais hábeis com as ferramentas deepfake, e essas ferramentas se tornam melhores, é possível que um mercado de deepfakes para aluguel possa surgir. Assim como os bandidos podem dedicar tempo às redes de bots para fins nefastos, podem aparecer empresas criminosas dedicadas à criação de deepfakes sob contrato.

Felizmente, um incentivo monetário para os bandidos cria um para os bandidos. O aumento do ransomware levou a um melhor antimalware para detectar a criptografia maliciosa e impedir que ela assumisse o controle dos sistemas. Já existe um trabalho sendo feito para detectar deepfakes e, esperançosamente, esses esforços só serão sobrecarregados pela chegada do phishing deepfake. Isso é pouco conforto para as pessoas que já foram enganadas, mas são boas notícias para o resto de nós.