- As ferramentas de clonagem de voz de IA podem replicar a voz de uma pessoa a partir de três segundos de áudio, permitindo a representação em tempo real em chamadas telefônicas, sem barreiras técnicas para invasores.
- O incidente Arup de fevereiro de 2024, no qual um funcionário financeiro transferiu HK$ 200 milhões (US$ 25 milhões) após uma videochamada deepfake, demonstrou que a representação de vídeo em tempo real agora é viável em grande escala.
- Deepfakes de voz de IA estão sendo usados em ataques vishing direcionados a equipes financeiras, assistentes de alto escalão e helpdesks de TI para autorizar transações, redefinir credenciais e contornar controles de acesso.
- Os sistemas de verificação de identidade que dependem de verificações de vídeo ao vivo ou voz são cada vez mais vulneráveis à medida que a qualidade das ferramentas deepfake em tempo real melhora.
- Defesas eficazes combinam um canal de verificação secundário, um protocolo de palavra-código compartilhado para solicitações confidenciais e treinamento de equipe focado em cenários específicos de deepfake, em vez de conscientização genérica de phishing.
- As organizações que integram clientes ou funcionários remotamente precisam de tecnologia de detecção de atividade que vá além das verificações baseadas em vídeo e incorpore sinais comportamentais e documentais.
A videochamada de US$ 25 milhões
Em fevereiro de 2024, um funcionário do departamento financeiro da Arup em Hong Kong recebeu um e-mail supostamente do diretor financeiro da empresa no Reino Unido solicitando uma transferência confidencial. O funcionário estava cético. Para dissipar suas preocupações, foram convidados para uma videochamada com o CFO e vários outros colegas seniores.
Todas as pessoas naquela ligação foram falsificadas. Os rostos, vozes e maneirismos correspondiam suficientemente aos indivíduos reais para que o funcionário ficasse convencido. Em diversas transações, 200 milhões de dólares de Hong Kong, aproximadamente 25 milhões de dólares, foram transferidos para contas controladas pelos fraudadores. A fraude não foi descoberta até que o funcionário contactou diretamente a sede no Reino Unido.
O incidente de Arup não foi um evento isolado; era a face pública de uma técnica que já tinha sido utilizada em dezenas de casos de fraude não divulgados. Eliminou qualquer dúvida remanescente de que o vídeo sintético em tempo real havia ultrapassado o limiar da demonstração de pesquisa para se tornar uma ferramenta criminosa operacional.
A fraude deepfake envolvendo voz ou vídeo não exige que o invasor seja um ator estatal ou um grupo tecnicamente sofisticado. Ferramentas capazes de clonagem de voz e troca de rosto em tempo real estão disponíveis comercialmente e em repositórios de código aberto, muitas vezes por menos de US$ 50 por mês em custos de assinatura.
Como funciona a clonagem de voz
A clonagem de voz usa modelos de aprendizagem profunda, normalmente uma variante de uma arquitetura de conversão de texto em fala, treinada em uma amostra do áudio de um locutor alvo. Com uma gravação curta, o modelo aprende as características acústicas da voz daquela pessoa: timbre, ritmo, amplitude de tom e estilo de fala. Ele pode então sintetizar uma nova fala naquela voz a partir de qualquer entrada de texto.
Três segundos de áudio são suficientes para algumas ferramentas comerciais produzirem um clone reconhecível. Trinta segundos produzem um resultado notavelmente melhor. A amostra de áudio pode vir de qualquer fonte pública: um vídeo da LinkedIn, uma apresentação da empresa, uma entrevista em podcast, uma gravação de conferência de imprensa ou uma saudação de correio de voz deixada em uma linha comercial pública.
A voz clonada pode ser usada de duas maneiras. O modo pré-gravado gera clipes de áudio que são inseridos em um correio de voz ou mensagem de áudio. O modo em tempo real processa a entrada de texto e a converte na voz do alvo com latência baixa o suficiente para manter uma conversa telefônica ao vivo, com o invasor digitando o que deseja que a voz diga e a síntese sendo reproduzida durante a chamada.
Tipos de ataques no ambiente corporativo
O funcionário da Arup fez tudo certo ao pedir uma videochamada para verificar a solicitação. O ataque teve sucesso precisamente porque essa etapa de verificação foi antecipada e derrotada.
Por que a verificação padrão falha
As organizações normalmente contam com três camadas de verificação informal para solicitações verbais sensíveis: reconhecem a voz, podem ver a pessoa no vídeo e quem liga sabe coisas que só essa pessoa saberia. Todos os três agora podem ser derrotados por um atacante preparado.
O reconhecimento de voz é falível na melhor das hipóteses; a qualidade do áudio do telefone introduz artefatos de compressão que mascaram as diferenças entre uma voz real e um bom clone. A verificação de vídeo, como demonstrou a Arup, não é mais confiável quando o software de troca de rosto pode ser executado em hardware de consumo em tempo real. O identificador de chamadas é trivialmente falsificado. E os detalhes contextuais que parecem conhecimento interno estão frequentemente disponíveis nos perfis do LinkedIn, sites da empresa, relatórios anuais e gravações de eventos públicos.
Isto não é uma falha de julgamento individual. Funcionários treinados para serem céticos em relação ao phishing por e-mail não têm treinamento equivalente para personificação de voz ou vídeo. Seu instinto de verificar por meio de um segundo canal, como solicitar uma chamada de vídeo, está correto, mas é explorado por invasores que se preparam exatamente para essa resposta.
Controles que realmente funcionam
Canal secundário e protocolo de palavra de código
Qualquer solicitação sensível recebida por telefone ou videochamada, seja para pagamento, redefinição de credencial ou acesso ao sistema, deve ser confirmada por meio de um canal totalmente separado. Utilize outro meio: se a solicitação veio por telefone, confirme por e-mail para o endereço corporativo. Se for por videochamada, ligue novamente em um número direto pré-cadastrado. Combine isso com uma palavra de código verbal compartilhada e acordada antecipadamente fora da banda, que não esteja escrita em nenhum e-mail ou documento que possa ser acessado em caso de violação. Um chamador que não consegue produzir a palavra-código não recebe a ação, independentemente de quão convincente a voz ou o rosto pareçam.
Autorização de pagamento acima de um limite
Remover a autorização verbal como um gatilho válido para qualquer transferência acima de um limite definido. Todos os pagamentos acima desse limite exigem duas aprovações por meio do sistema de pagamentos corporativos, e não um telefonema. Esta é uma mudança de processo, não de tecnologia, mas elimina diretamente o mecanismo em que dependem as chamadas fraudulentas.
Treinamento de equipe especificamente sobre fraude de voz e vídeo de IA
O treinamento genérico de conscientização sobre phishing não prepara a equipe para a personificação de voz ou vídeo. Execute cenários direcionados: reproduza um clone de voz de um executivo sênior fazendo uma solicitação fraudulenta e faça com que os funcionários pratiquem o protocolo de verificação. A experiência de ouvir uma voz familiar errada é uma intervenção de treinamento mais eficaz do que ler sobre o conceito. Concentre o treinamento nas funções mais direcionadas: equipes financeiras, helpdesks de TI e assistentes executivos.
Atualizar detecção de atividade KYC
As organizações que integram clientes remotamente usando verificações de atividade de vídeo devem auditar a abordagem de seu provedor KYC para detecção de deepfake. As verificações passivas de vivacidade que medem os movimentos faciais são cada vez mais insuficientes. Procure fornecedores que usem vivacidade passiva e ativa combinadas, verificações de autenticidade de documentos que vão além da análise de imagens e sinais comportamentais, como impressão digital de dispositivos e detecção de anomalias de sessão, como sinais complementares.
Validação de identificador de chamadas na camada de rede
Trabalhe com sua operadora de telefonia para implementar o atestado STIR/SHAKEN, que valida se o número do chamador foi verificado pela operadora. Embora não seja infalível, ele eleva o nível de falsificação de número em chamadas originadas em redes compatíveis e fornece um sinal que pode ser levado em consideração nos procedimentos de tratamento de chamadas.
Marca d'água de áudio de contato executiva e de alto valor
Para organizações com alta exposição executiva, considere a utilização de marcas d'água de áudio para gravações confidenciais. Alguns serviços de detecção oferecem a capacidade de incorporar marcadores imperceptíveis no áudio autorizado dos executivos, permitindo que qualquer gravação da voz desse executivo seja verificada com o banco de dados de marcas d'água. Isto é mais relevante para instituições financeiras e grandes empresas onde a representação de executivos é um perfil de ameaça específico e recorrente.